anix Posted May 10, 2011 Posted May 10, 2011 (edited) Ломанули сервер VDS, по отчету rkhunter, часть системных утилит подменена. Первоначально была вычищена вся видимая зараза, мониторинг сети ничего странного не показывает. Был пересобран ssh. Возможности вот так сразу переставить ОС нет, ищутся способы безопасного обновления либо частями, либо еще как то системы, поделить мыслями. UPD: linux Edited May 10, 2011 by anix Вставить ник Quote
terrible Posted May 10, 2011 Posted May 10, 2011 TCPDUMP на предмет отсылки интересных сообщений с сервера + посмотрите, нет ли лишних открытых сокетов. Вставить ник Quote
anix Posted May 10, 2011 Author Posted May 10, 2011 TCPDUMP на предмет отсылки интересных сообщений с сервера + посмотрите, нет ли лишних открытых сокетов. tcpdump ничего странного не показывает, но есть вероятность, что он и losf и netstat могут быть подменены :( Вставить ник Quote
marikoda Posted May 10, 2011 Posted May 10, 2011 Если дистрибутив с пакетным манагером, то переставить все пакеты (deb, rpm итп) Вставить ник Quote
Ilya Evseev Posted May 11, 2011 Posted May 11, 2011 Скопировать с другого сервера статически скомпонованный md5sum. Собрать им суммы всех файлов в /bin, /sbin, /usr/bin, /usr/sbin, /usr/local/bin, /usr/local/sbin. Установить в VirtualBox систему с такими же версиями пакетов и сравнить суммы. Со всеми остальными утилитами поступать так же - копировать извне статически скомпонованные, вплоть до sshd на отдельном порту. Вставить ник Quote
devicebusy Posted May 11, 2011 Posted May 11, 2011 (edited) А чего за дистр? В дебиане ( и подобных) поставьте debsums, потом с ним сконтролировать пакеты и изменённые apt-get -u --purge --reinstall install package_name. Edited May 11, 2011 by devicebusy Вставить ник Quote
altnetwork.ru Posted May 12, 2011 Posted May 12, 2011 Возможности вот так сразу переставить ОС нет, ищутся способы безопасного обновления ... Я бы всё-таки переставил ОС и не мучался... Вставить ник Quote
Vicus Posted May 13, 2011 Posted May 13, 2011 (edited) В свое время для похожей ситуации накалякали скриптец на php, который выкачивает все установленные пакеты, которые потом всем скопом можно переуустановить :) #!/usr/bin/php -f <? set_time_limit(0); $base_repo = "http://mirror.yandex.ru/centos/4.8/os/i386/CentOS/RPMS/"; $dag_repo = "http://apt.sw.be/redhat/el4/en/i386/dag/RPMS/"; $up_repo = "http://mirror.yandex.ru/centos/4.8/updates/i386/CentOS/RPMS/"; @mkdir("rpms"); $err = fopen("php://stderr", "w"); function arr_empty($var) { return !empty($var); } exec("yum list installed",$rpm_list); array_shift($rpm_list); foreach($rpm_list as $rpm) { $tmp = array_values(array_filter(explode(" ",$rpm),"arr_empty")); $t = explode(".",$tmp[0]); $tmp[1] = preg_replace('/.*\:/',"",$tmp[1]); $rpm = $t[0]."-".$tmp[1].".".$t[1].".rpm"; echo "Processing ".$rpm."...\n"; exec("wget -qcO rpms/".$rpm." ".$base_repo.$rpm); if(!filesize("rpms/".$rpm)>0) { exec("wget -qcO rpms/".$rpm." ".$up_repo.$rpm); if(!filesize("rpms/".$rpm)>0) { exec("wget -qcO rpms/".$rpm." ".$dag_repo.$rpm); if(!filesize("rpms/".$rpm)>0) fputs($err, $rpm." not found !!!\n"); } } } fclose($err); ?> Edited May 13, 2011 by Vicus Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.