форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Вторжение!!! Хакеры!!!"
Сообщение от VDS (??) on 05-Окт-04, 07:10  (MSK)
Всем зрасьте! Помогите советом, please. У меня с сервака исчезают логи, пропала команда PS и не запускаются МАНы. Такое ощущение, что кто-то на него залазил, или еще не слез. Ведь вполне логично получается, кто-то чего-то делает, потом удаляет логи, чтобы не было известо, что он делает. Также удаляется программа PS, чтобы нельзя было посмотреть текущие процессы. Только вот почему не запускаются МАНы?.. Все файлы на месте. Набираю: ~gate: man man (или что-нибудь в этом духе), Линух съедает команду и без всякой ругани выдает: ~gate: Что происходит? Помогите пожалуйста!..
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Вторжение!!! Хакеры!!!"
Сообщение от VDS (??) on 05-Окт-04, 07:26  (MSK)
>Всем зрасьте! Помогите советом, please. У меня с сервака исчезают логи, пропала >команда PS и не запускаются МАНы. Такое ощущение, что кто-то на >него залазил, или еще не слез. Ведь вполне логично получается, кто-то >чего-то делает, потом удаляет логи, чтобы не было известо, что он >делает. Также удаляется программа PS, чтобы нельзя было посмотреть текущие процессы. >Только вот почему не запускаются МАНы?.. Все файлы на месте. Набираю: > >~gate: man man (или что-нибудь в этом духе), Линух съедает команду и >без всякой ругани выдает: >~gate: >Что происходит? Помогите пожалуйста!.. Товарищи! ни у кого ни чего... Может хоть что-то, а то чего-то как-то...
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "Вторжение!!! Хакеры!!!"
	Сообщение от Dubrovsky (ok) on 05-Окт-04, 08:03  (MSK)
	>>Всем зрасьте! Помогите советом, please. У меня с сервака исчезают логи, пропала >>команда PS и не запускаются МАНы. Такое ощущение, что кто-то на >>него залазил, или еще не слез. Ведь вполне логично получается, кто-то >>чего-то делает, потом удаляет логи, чтобы не было известо, что он >>делает. Также удаляется программа PS, чтобы нельзя было посмотреть текущие процессы. >>Только вот почему не запускаются МАНы?.. Все файлы на месте. Набираю: >> >>~gate: man man (или что-нибудь в этом духе), Линух съедает команду и >>без всякой ругани выдает: >>~gate: >>Что происходит? Помогите пожалуйста!.. > >Товарищи! ни у кого ни чего... Может хоть что-то, а то чего-то >как-то... Проще все снести(если это возможно), установить заново и следить за машиной и почитай по теме rootkit
		Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Вторжение!!! Хакеры!!!"
Сообщение от admin Smith on 05-Окт-04, 09:24  (MSK)
Насчет "все переустановить" это конечно правильно, но перед тем как сносить, или если сносить нельзя - советую воспользоваться пакетом chkrootkit (http://www.chkrootkit.org/).
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "Вторжение!!! Хакеры!!!"
	Сообщение от VDS (??) on 06-Окт-04, 05:47  (MSK)
	>Насчет "все переустановить" это конечно правильно, но перед тем как сносить, или >если сносить нельзя - советую воспользоваться пакетом chkrootkit (http://www.chkrootkit.org/). Снести это кончно хорошо, но нельзя. Мне башку снесут. Поскажите хотя бы, что это такое. Ну хоть примерно.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "Вторжение!!! Хакеры!!!"
	Сообщение от VDS (??) on 06-Окт-04, 05:54  (MSK)
	>>Насчет "все переустановить" это конечно правильно, но перед тем как сносить, или >>если сносить нельзя - советую воспользоваться пакетом chkrootkit (http://www.chkrootkit.org/). > >Снести это кончно хорошо, но нельзя. Мне башку снесут. Поскажите хотя бы, >что это такое. Ну хоть примерно. Фиг вам! chkrootkit при инсталляции пишет /bin/sh: bad interpreter: Permisiion denied. Системе пришел @@@@ц?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "Вторжение!!! Хакеры!!!"
	Сообщение от VDS (??) on 06-Окт-04, 07:00  (MSK)
	>>>Насчет "все переустановить" это конечно правильно, но перед тем как сносить, или >>>если сносить нельзя - советую воспользоваться пакетом chkrootkit (http://www.chkrootkit.org/). >> >>Снести это кончно хорошо, но нельзя. Мне башку снесут. Поскажите хотя бы, >>что это такое. Ну хоть примерно. > Фиг вам! chkrootkit при инсталляции пишет /bin/sh: bad interpreter: permisiion denied. Системе пришел @@@@ц? Может записать с домашней машины папку /bin на болвашку? Как это можно сделать? А вообще меня сейчас осенило. У меня до этого на этой машине стоял Debian 2.*, у него начали пропадать ЛОГИ. Затем он умер. Я преустановил систему, подключил винт с умершей системой и скопировал пару КОНФИГОВ. Похоже чего-то я там еще прихватил... Что скажете? Мне так кажется, похоже все-таки придется убивать Линух.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "Вторжение!!! Хакеры!!!"
	Сообщение от VDS (??) on 06-Окт-04, 08:16  (MSK)
	>>>>Насчет "все переустановить" это конечно правильно, но перед тем как сносить, или >>>>если сносить нельзя - советую воспользоваться пакетом chkrootkit (http://www.chkrootkit.org/). >>> >>>Снести это кончно хорошо, но нельзя. Мне башку снесут. Поскажите хотя бы, >>>что это такое. Ну хоть примерно. >> >Фиг вам! chkrootkit при инсталляции пишет /bin/sh: bad interpreter: permisiion denied. Системе >пришел @@@@ц? >Может записать с домашней машины папку /bin на болвашку? Как это можно >сделать? А вообще меня сейчас осенило. У меня до этого на >этой машине стоял Debian 2.*, у него начали пропадать ЛОГИ. Затем >он умер. Я преустановил систему, подключил винт с умершей системой и >скопировал пару КОНФИГОВ. Похоже чего-то я там еще прихватил... Что скажете? >Мне так кажется, похоже все-таки придется убивать Линух. Я еще вот что подумал. Если это червяк. То ведь он может быть на других машинах. Если я переустановлю Линух не залетит ли он снова на сервак с локалок?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "Вторжение!!! Хакеры!!!"
	Сообщение от Swap on 06-Окт-04, 08:23  (MSK)
	послушай, прекрати истерику. какой червяк под линухом???!!!
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "Вторжение!!! Хакеры!!!"
	Сообщение от VDS (??) on 06-Окт-04, 08:25  (MSK)
	>послушай, прекрати истерику. >какой червяк под линухом???!!! Да фиг его знает. Сколько людей столько мнений. Одни говорят одно, другие другое, вот в панику и впадаешь. Но если не червяк, тогда что это?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "Вторжение!!! Хакеры!!!"
	Сообщение от VDS (??) on 06-Окт-04, 09:19  (MSK)
	>>послушай, прекрати истерику. >>какой червяк под линухом???!!! > >Да фиг его знает. Сколько людей столько мнений. Одни говорят одно, другие >другое, вот в панику и впадаешь. Но если не червяк, тогда >что это? Кстати. Может проблема в железе? Память битая, проц греется, винт отсыпается?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "Вторжение!!! Хакеры!!!"
Сообщение от Loky on 06-Окт-04, 11:14  (MSK)
>Всем зрасьте! Помогите советом, please. У меня с сервака исчезают логи, пропала >команда PS и не запускаются МАНы. Такое ощущение, что кто-то на >него залазил, или еще не слез. Ведь вполне логично получается, кто-то >чего-то делает, потом удаляет логи, чтобы не было известо, что он >делает. Также удаляется программа PS, чтобы нельзя было посмотреть текущие процессы. >Только вот почему не запускаются МАНы?.. Все файлы на месте. Набираю: > >~gate: man man (или что-нибудь в этом духе), Линух съедает команду и >без всякой ругани выдает: >~gate: >Что происходит? Помогите пожалуйста!.. Подцепи этот винт к другому линуху вторым винтом и смонтируй в папку, ну допустим /mnt/polnaja_jopa и внимательно просмотри на предмет лишнего. В первую очередь канешна на предмет руткитов. Сравни основные бинарники типа ps, top, netstat. Если все чисто, то пробуй fsck /dev/hdX и badblocks /dev/hdX. Более прямолинейный способ - проинсталь систему в режиме апдейта не убивая разделов.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "Вторжение!!! Хакеры!!!"
Сообщение от edwin (ok) on 06-Окт-04, 13:24  (MSK)
>Всем зрасьте! Помогите советом, please. У меня с сервака исчезают логи, пропала >команда PS и не запускаются МАНы. Такое ощущение, что кто-то на >него залазил, или еще не слез. Ведь вполне логично получается, кто-то >чего-то делает, потом удаляет логи, чтобы не было известо, что он >делает. Также удаляется программа PS, чтобы нельзя было посмотреть текущие процессы. >Только вот почему не запускаются МАНы?.. Все файлы на месте. Набираю: > >~gate: man man (или что-нибудь в этом духе), Линух съедает команду и >без всякой ругани выдает: >~gate: >Что происходит? Помогите пожалуйста!.. в таких случаях надежда только на регулярное резервное копирование. chrootkit не поможет если перелопатили ядро и его модули. На мой взгляд, действия должны быть таковы: 1) Береш компьютер, ставишь на него Unix(желательно похожей группы со взломаным). 2) мтавишь на него ВСЕ патчи, в малейшей стапени касающиеся безопастности. 3) настраиваеш его аналогично взломаному серверу (как Вы понимаете пароли не должны быть одинаковы). 4) переносим со взломаного сервера пользовательские данные 5) меняем серваки местами. Если нужна более подробная консультация, пиши на : edwin3d@omen.ru
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	13. "Вторжение!!! Хакеры!!!"
	Сообщение от VDS (??) on 06-Окт-04, 13:59  (MSK)
	Всем огромное спасибо! Вы очень помогли!
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	14. "Вторжение!!! Хакеры!!!"
	Сообщение от VDS (??) on 07-Окт-04, 07:35  (MSK)
	>Всем огромное спасибо! Вы очень помогли! К стати у меня троян, червь, и еще какая-то хрень на серваке. И все под линух. Это мне clamav сообщил.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	15. "Вторжение!!! Хакеры!!!"
	Сообщение от w0nders (??) on 10-Окт-04, 17:11  (MSK)
	ну кламав много чего говорит, ты еще спроси где он это нашел ? значит так слушай как надо! ты гвариш что сервак боевой, сначала все данный забекапь на другой сервак у которго все пока еще нормально, ну паставь ты атрибуты на логи шоб никто не удалял и смари че будет=) найди бинарник пс и так едрани или топом как так твой сервак и ты незнаешь что нанем происходи!!! быстро гаси, яб если почуял что на боевом серваке кто то нюхает первым делом бы провел полную проверку, но сперва потушил бы все интерфейсы... еще на будующее логи с боевых серваков надо хранить на другом серваке типа сервер логов=) а че ) знаешь, я часто наблюдаю у себя в логе такую картину, что всякие боты пытаюца подобрать пароль ну от разных пользователей в том числе и от рута(он главный должен быть у тебя) вот может у тебя они подобрали его? рут 123 аксес грандед !!!=))
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.