Страница 1 из 1
Руткит
Добавлено: 2010-05-28 23:52:54
Greeb
Доброго времени суток...Возникла следующая проблема: какойто процесс создает кучу tcp соединений с группой ip адресов и одним DNS адресом, который имеет вид someadress.mail..smtp . подозреваю что на серваке завелся руткит или вирус... С помощью Ipfw я заблокировал доступ к этим адресам, но это не решение проблемы, надо вычислить какой процесс создает эти подключения... Собсна вопрос: как ето сделать???
З.Ы. Сканил кламавом - ниче не нашел(
Re: Руткит
Добавлено: 2010-05-29 0:38:48
FreeBSP
sockstat
и проверьте наличие акков кроме рута и toor c uid == 0
Re: Руткит
Добавлено: 2010-05-29 9:19:43
terminus
Re: Руткит
Добавлено: 2010-05-29 14:50:02
Greeb
uname -a
FreeBSD server.nezhin 7.2-RELEASE-p3 FreeBSD 7.2-RELEASE-p3 #1: Sun Aug 23 20:13:55 UTC 2009
imp@server.nezhin:/usr/obj/usr/src/sys/main_kernell.2009-29-07 i386
Блин как прибить ету заразу? А главное как ее вычислить??
Re: Руткит
Добавлено: 2010-05-29 16:28:31
Greeb
Вот sockstat
Код: Выделить всё
USER COMMAND PID FD PROTO LOCAL ADDRESS FOREIGN ADDRESS
imp sshd 8727 3 tcp4 192.168.0.1:22 192.168.0.243:3782
imp sshd 8727 4 stream -> ??
root sshd 8724 3 tcp4 192.168.0.1:22 192.168.0.243:3782
root sshd 8724 5 stream -> ??
root sshd 1208 3 tcp6 *:22 *:*
root sshd 1208 4 tcp4 *:22 *:*
www httpd 1207 16 tcp4 *:80 *:*
www httpd 1206 16 tcp4 *:80 *:*
www httpd 1205 16 tcp4 *:80 *:*
www httpd 1204 16 tcp4 *:80 *:*
www httpd 1203 16 tcp4 *:80 *:*
root httpd 1190 16 tcp4 *:80 *:*
nobody darkstat 1179 3 stream -> ??
nobody darkstat 1178 7 stream -> ??
nobody darkstat 1178 8 tcp4 192.168.0.1:667 *:*
root samsdaemon 1166 3 dgram -> /var/run/logpriv
root samsdaemon 1166 4 stream -> /tmp/mysql.sock
root samsdaemon 1166 5 stream -> /tmp/mysql.sock
mysql mysqld 1158 10 tcp4 *:3306 *:*
mysql mysqld 1158 12 stream /tmp/mysql.sock
mysql mysqld 1158 29 stream /tmp/mysql.sock
mysql mysqld 1158 30 stream /tmp/mysql.sock
squid squid 1050 3 dgram -> /var/run/log
squid squid 1050 6 udp4 *:56786 *:*
squid squid 1050 12 tcp4 195.211.101.39:80 192.168.0.243:3757
squid squid 1050 13 tcp4 *:3128 *:*
squid squid 1050 14 udp4 *:3130 *:*
squid squid 1050 15 tcp4 195.211.101.39:80 192.168.0.243:3749
squid squid 1050 16 tcp4 195.211.101.39:80 192.168.0.243:3745
squid squid 1050 17 tcp4 32.58.161.205:80 192.168.0.243:3784
squid squid 1050 18 tcp4 194.242.102.115:63364 32.58.161.205:80
squid squid 1050 19 tcp4 32.58.161.110:80 192.168.0.243:3786
squid squid 1050 20 tcp4 195.211.101.39:80 192.168.0.243:3753
squid squid 1050 21 tcp4 195.211.101.39:80 192.168.0.243:3755
squid squid 1050 22 tcp4 195.211.101.39:80 192.168.0.243:3751
squid squid 1050 23 tcp4 194.242.102.115:61683 32.58.161.110:80
squid squid 1045 3 dgram -> /var/run/log
proftpd proftpd 888 0 tcp4 *:21 *:*
proftpd proftpd 888 1 dgram -> /var/run/log
root mpd4 687 3 dgram -> /var/run/logpriv
root mpd4 687 9 tcp4 194.242.102.115:1723 192.168.15.32:1229
root mpd4 687 18 tcp4 194.242.102.115:1723 *:*
bind named 635 3 dgram -> /var/run/logpriv
bind named 635 20 tcp4 192.168.0.1:53 *:*
bind named 635 21 tcp4 127.0.0.1:953 *:*
bind named 635 22 tcp6 ::1:953 *:*
bind named 635 512udp4 192.168.0.1:53 *:*
root syslogd 557 4 dgram /var/run/log
root syslogd 557 5 dgram /var/run/logpriv
root syslogd 557 6 dgram /var/run/log
root syslogd 557 7 dgram /var/named/var/run/log
root syslogd 557 8 udp6 *:514 *:*
root syslogd 557 9 udp4 *:514 *:*
root devd 449 4 stream /var/run/devd.pipe
root natd 341 4 div4 *:8667 *:*
root natd 339 4 div4 *:8668 *:*
Re: Руткит
Добавлено: 2010-05-29 16:32:05
Burner
зачем вы тут это выложили? Убираете правила из ipfw, даете установить соединение, смотрите pid.
Re: Руткит
Добавлено: 2010-06-01 10:07:29
Al
chkrootkit
Re: Руткит
Добавлено: 2010-06-04 22:52:05
Greeb
Al писал(а):chkrootkit
А можно поподробней, че ето за зверь такой?
Re: Руткит
Добавлено: 2010-06-04 23:53:27
gloom
а погуглить трудно?
еще есть rkhunter
и lynis видно чтото новинькое...
