Страница 1 из 1
Вирусы, трояны, руткиты
Добавлено: 2006-03-31 21:34:01
Roman
Решил проверить FreeBSD chkrootkit и он мне выдал
Код: Выделить всё
...
Checking `asp'... not infected
Checking `bindshell'... INFECTED (PORTS: 1524 31337)
Checking `lkm'... chkproc: nothing detected
...
Что это могло значить 'bindshell'... INFECTED (PORTS: 1524 31337) ???? Читал в Инете что PortSentry может выдавать такое. Пробовал без него....тоже самое
Re: Вирусы, трояны, руткиты
Добавлено: 2006-04-01 9:59:02
Alex Keda
Roman писал(а):Решил проверить FreeBSD chkrootkit и он мне выдал
Код: Выделить всё
...
Checking `asp'... not infected
Checking `bindshell'... INFECTED (PORTS: 1524 31337)
Checking `lkm'... chkproc: nothing detected
...
Что это могло значить 'bindshell'... INFECTED (PORTS: 1524 31337) ???? Читал в Инете что PortSentry может выдавать такое. Пробовал без него....тоже самое
ну а где этот биндшелл лежит?
Кто слушает эти порты?
Добавлено: 2006-04-01 19:34:58
Roman
Ну вообще, слушает эти порты и многие другие PortSentry. А где лежит bindshell я и незнаю, не нашел поиском (даже незнаю что это такое). В других статьях читал, что придется переустанавливать всю систему заново ( с форматированием).
Добавлено: 2006-04-01 23:04:13
Alex Keda
Roman писал(а):Ну вообще, слушает эти порты и многие другие PortSentry. А где лежит bindshell я и незнаю, не нашел поиском (даже незнаю что это такое). В других статьях читал, что придется переустанавливать всю систему заново ( с форматированием).
яндекс - вторая или третья ссылка...
сноси. так будет спокойней....
со старой машины бери тока конфиги, предварительно просмотрев - соответствуют ли они тому что ты туда писал.
пароли сложные сразу придумай....
===
примерно так....
Добавлено: 2006-04-02 19:33:39
Roman
Я сначала подумал закрыть эти порты, наверное это неверная мысль...НО...что бы так сделать, никто об этом не писал (в статьях в интернете). И решил сделать, как советуют люди (как пишешь и ты). Пароли у меня сложные
(были....КОНЕЧНО.... и будут всегда). Но вот вопрос, как в следующий раз не допустить такие вещи ?????????? ( НА БУДУЮЩЕЕ !!!)
Добавлено: 2006-04-02 21:34:12
Alex Keda
Для начала - если есть возможность то вин сними с машины и убери в тумбочку - на досуге загрузишься с него на другой машине и будешь потихоньку ковыряться - что где почему.
А воч что делать... х.з. - никто не застрахован. Надо поменьше дыр наружу/ всё прикрыть приложения вовремя обновлять.... обычные советы... - можно приделать отсыл письма себе куданить наружу на всяие непонятности типа изменеие паролей/ новые учётки/ новые открытые порты... shell+ 5 минут работы на такой скрипт...
Добавлено: 2006-04-03 8:54:57
Roman
Понятно. Так как я ставил приложения с портов (с официальных сайтов), вопрос: можно ли скопировать файлы /usr/ports/distfiles и устанавливать порты из них....а то неохота тянуть все это из Интернета (т.к. у меня модем), а потом все это дело обновить (через Portupgrade) ??????
Добавлено: 2006-04-03 9:14:10
Alex Keda
можно с одной оговоркой - тока дистфилес (всё дерево не бери) - и если вдруг md5 не совпадёт при установке - принудительно не ставь - лучше пусть заново качает
Добавлено: 2006-04-03 10:01:54
Roman
Перед сносом FreeBSD решил поудалалять приложения (порты). Удалил PortSentry....И...
Код: Выделить всё
.................
Checking `asp'... not infected
Checking `bindshell'... not infected
Checking `lkm'... chkproc: nothing detected
...................
но при последующей установке PortSentry опять...
Код: Выделить всё
.................
Checking `asp'... not infected
Checking `bindshell'... INFECTED (PORTS: 1524 31337)
Checking `lkm'... chkproc: nothing detected
...............
Теперь даже и незнаю ЧТО ДЕЛАТЬ ?????? Может удалить дистрибьютивы PortSentry (включая portsentry.tar.gz) и закачать из портов и установить другой дистрибьютив ?????
Добавлено: 2006-04-03 10:04:58
Alex Keda
слушай, а чем проверяешь?
Добавлено: 2006-04-03 10:14:21
Roman
chkrootkit-ом собранный из /usr/port/security
Добавлено: 2006-04-03 10:46:30
Alex Keda
забей. это он ругается ибо этот порт стандартный для этого руткита а на нём висит портсентри. убери этот порт из конфига - перестанет
))
====
от я тупой, а ты из-за меня чуть фрю не снёс....
Добавлено: 2006-04-03 11:02:50
Roman
Ничего страшного
. Убрать из конфига PortSentry ??? Но он еще много портов слушает (стандартных руткитовских), почему тогда не показывает, что другие порты "INFECTED" ???
Добавлено: 2006-04-03 11:41:06
Alex Keda
это какие же? у меня тоже на всех машинах где порсентри ругнулся на это порт.
Добавлено: 2006-04-03 11:54:41
Roman
Я попробовал убрать с конфига PortSentry эти порты и все нормально стало (потом опять вернул, пусть слушает и chkrootkit ругается). Я имел ввиду PortSentry слушает много портов , незнаю руткитовские они или нет, но ругается почему-то только на эти два порта (PORTS: 1524 31337)???
Добавлено: 2006-04-03 12:56:34
Abigor
попробуй вот этот сканер, черуткин давно уже не обновлялся
/usr/ports/security/rkhunter
Добавлено: 2006-04-03 13:49:40
Roman
Хорошо, попробую
Добавлено: 2006-04-03 17:46:38
Roman
Попробовал rkhunter...все нормально, только нашел одно уязвимое приложение OpenSSL 0.9.7e ??????
Добавлено: 2006-04-03 22:43:13
Alex Keda
обновить пора. уже openssl-stable-0.9.7i есть
Добавлено: 2006-04-05 8:22:16
Roman
А во что он входит...в Апаче что-ли
нет требуемых обновлений....и его там его не видно ???
Добавлено: 2006-04-05 8:40:33
Alex Keda
Добавлено: 2006-04-05 10:44:09
Roman
lissyara писал(а):а
что даст?
Ничего не дало
Правда лежит в /usr/src/crypto/openssl...и там куча папок и makefile (version=0.9.7e). Может это mkhunter и находит ??????????
Добавлено: 2006-04-05 16:37:58
Alex Keda
значит системный устарел. пора обновить мир, ну и ядро разумеется...
Добавлено: 2006-04-05 17:09:57
Roman
Да уж