forum.opennet.ru - "Linux RH (core 2.4) - последствия ХАКА" (3)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Linux RH (core 2.4) - последствия ХАКА"

Форумы Программирование под UNIX (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Linux RH (core 2.4) - последствия ХАКА"
Сообщение от dogmeat1982 (ok) on 05-Авг-07, 12:31
После того как система была взломана обнаружилась нестабильная работа системы. Поскольку взломанный сервер находится постоянно в работе, то переустановка ОС и ПО невозможна. Нестабильность работы проявляется в том, что самое важное приложение, которое запускается скриптом .sh запускается ШЕСТЬ раз. Сначала скрпт запускает одну копию, которая в совю очередь запускает еще одну, затем 2-я дочка порождает сразу 4 копии - ИТОГО их 6. Они постоянно перехватывают др. у др. инициативу и дестабилизируют работу сервера. @@ обновили SSHD (переустановили) и вроде пересобрали ядро. Изменения были обнаружены в файле cat /etc/init.d/functions. Есть подозрение, что @@ переобрали ядро либо изменили какимто образом файл functions, который находиться по адресу /etc/init.d/ меня вот сильно напрягает строка /usr/bin/initrd -t1 -X53 -p ниразу не видал чтобы initrd исользовалась с ключами и без ссыли на .img %) Если, кто использует тот же Linux RH (core 2.4), то плз. прошу помощи = предлагаю сравнить содержимое файлов cat /etc/init.d/functions.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Linux RH (core 2.4) - последствия ХАКА, devcoder, 12:59 , 05-Авг-07, (1)
Linux RH (core 2.4) - последствия ХАКА, anonymous, 19:26 , 05-Авг-07, (2)

Linux RH (core 2.4) - последствия ХАКА, phpcoder, 22:40 , 05-Авг-07, (3)

Сообщения по теме [Сортировка по времени, UBB]

1. "Linux RH (core 2.4) - последствия ХАКА"

Сообщение от devcoder (??) on 05-Авг-07, 12:59

>подозрение, что @@ переобрали ядро либо изменили какимто образом файл functions,
>который находиться по адресу /etc/init.d/ меня вот сильно напрягает строка /usr/bin/initrd
>-t1 -X53 -p ниразу не видал чтобы initrd исользовалась с ключами
Правильно смущает, нет такой команды.
Есть mkinitrd, но из библиотеки функций для bash-скриптов sysv-init /etc/init.d/functions не должны запускаться подобные административные задачи.
>Если, кто использует тот же Linux RH (core 2.4), то плз. прошу
>помощи = предлагаю сравнить содержимое файлов cat /etc/init.d/functions.
Не сильно разбираюсь в RPM, но нужно:
1) найти пакет rpm который ставит /etc/init.d/functions
2) сравнить diff-ом

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Linux RH (core 2.4) - последствия ХАКА"

Сообщение от anonymous (??) on 05-Авг-07, 19:26

У rpm есть ключ, который проверяет md5 всех установленных файлов по своей базе. Хотя, если взломщик достаточно квалифицирован, то он мог изменить и базу.
Советую также поставить снифер между сервером и сетью и отследить возможные подозрительные запросы.
И самое важное: нужно выяснить причину взлома, иначе всё повторится.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Linux RH (core 2.4) - последствия ХАКА"

Сообщение от phpcoder (??) on 05-Авг-07, 22:40

>У rpm есть ключ, который проверяет md5 всех установленных файлов по своей
>базе.
rpm -V имя-пакета

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Linux RH (core 2.4) - последствия ХАКА"
Сообщение от devcoder (??) on 05-Авг-07, 12:59
>подозрение, что @@ переобрали ядро либо изменили какимто образом файл functions, >который находиться по адресу /etc/init.d/ меня вот сильно напрягает строка /usr/bin/initrd >-t1 -X53 -p ниразу не видал чтобы initrd исользовалась с ключами Правильно смущает, нет такой команды. Есть mkinitrd, но из библиотеки функций для bash-скриптов sysv-init /etc/init.d/functions не должны запускаться подобные административные задачи. >Если, кто использует тот же Linux RH (core 2.4), то плз. прошу >помощи = предлагаю сравнить содержимое файлов cat /etc/init.d/functions. Не сильно разбираюсь в RPM, но нужно: 1) найти пакет rpm который ставит /etc/init.d/functions 2) сравнить diff-ом
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

2. "Linux RH (core 2.4) - последствия ХАКА"
Сообщение от anonymous (??) on 05-Авг-07, 19:26
У rpm есть ключ, который проверяет md5 всех установленных файлов по своей базе. Хотя, если взломщик достаточно квалифицирован, то он мог изменить и базу. Советую также поставить снифер между сервером и сетью и отследить возможные подозрительные запросы. И самое важное: нужно выяснить причину взлома, иначе всё повторится.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Linux RH (core 2.4) - последствия ХАКА"
	Сообщение от phpcoder (??) on 05-Авг-07, 22:40
	>У rpm есть ключ, который проверяет md5 всех установленных файлов по своей >базе. rpm -V имя-пакета
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]