Оп-па! Авиабаза перезагружалась :)

Теги:авиабаза
 
+
-
edit
 

Balancer

администратор
★★★★★
Ткнулся сейчас в uptime, чтобы глянуть, сколько там денй прошло с 31 марта прошлого года, ан нет! uptime - 56 дней. Выходит, машину в декабре перезагружали, а меня не уведомили. Но я рад - выходит, что от почти годичной давности троянца я успешно тогда машину выправил и она научилась сама исправно загружаться. А то меня все эти месяцы сомнения глодали
 
+
-
edit
 

Balancer

администратор
★★★★★
А вот оставленный троянцем "/usr/bin/smbd -D" до сих пор неубиваем. Не запущен, конечно, но и неубиваем. Ни права поменять, ни удалить. "rm: cannot unlink `smbd -D': Operation not permitted". Думал, его до перезагрузки система чем-то держит. Так нет, и после перезагрузки та же фигня.
 
Шилом паяльником и плоскогубцами надотьи
Нет рабства безнадёжнее, чем рабство тех рабов, себя кто полагает свободным от оков. - И.В. Гёте.  

Vale

Сальсолёт

Брр.. А не стоит ли у тебя rootkit по-прежнему?
"Не следуй за большинством на зло, и не решай тяжбы, отступая по большинству от правды" (Исх. 23:2)  
Это сообщение редактировалось 05.02.2004 в 14:11
+
-
edit
 

Balancer

администратор
★★★★★
Vale, 05.02.2004 14:05:51:
Брр.. А не стоит ли у тебя rootkit ?
 

Поскольку я не знаю, что это такое, то навряд ли стоит
 
+
-
edit
 

Balancer

администратор
★★★★★
А, это типа линуксового бэкдора? Вроде, тогда, год назад всё тщательно проверял. Никаких портов левых не открыто, сервисов... Да и троянец был просто пойман - он ps и top эмулировал, но эмулировал неточно. почему я и заподозрил дело неладное. Восстановил потом ручками с дистрибутива. И всё легко поудалялось. Кроме этого файла с таким безумным именем
 

Vale

Сальсолёт

rootkit - набор системных файлов, настроенный так,что скрывает наличие троянца в системе. Если я правильно понимаю, такое "патченое" ядро может запретить удаление троянских компонент. И, кстати, зачем тебе SAMBA-то нужна на WWW-сервере?
"Не следуй за большинством на зло, и не решай тяжбы, отступая по большинству от правды" (Исх. 23:2)  
+
-
edit
 

Balancer

администратор
★★★★★
Ядро у меня там своё стоит.

А самбы у меня и нет Тоже один из моментов, на котором троянец прокололся Т.е. для неискушённого пользователя "обычного" файл-сервера - висит себе в памяти smbd с ключом -D, всё как обычно. А на деле - файл "smbd -D".
 

Vale

Сальсолёт

Кстати, на Linux.ru.net проскакивала информация о rootkit detection suite.
"Не следуй за большинством на зло, и не решай тяжбы, отступая по большинству от правды" (Исх. 23:2)  

Vale

Сальсолёт

Хиитрый троянец, однако.
"Не следуй за большинством на зло, и не решай тяжбы, отступая по большинству от правды" (Исх. 23:2)  
+
-
edit
 

Balancer

администратор
★★★★★
Да фиг его знает. Черезчур сложно это всё. Единственное объяснение тому, что было, или на машине оказалось два троянца сразу (часть же файлов легко убилась) или троянец как бы двухуровневый, мол, часть для лёгкого обнаружения, чтобы успокоить, мол, всё ок. Как-то нереально сложно это. Тем более, что этот "smbd -D" так легко тоже обнаружен был. даты модификации файлов тоже никак не прикрывались, размеры - всё легко было замечено. Восстановить (тем более, что дистанционно) было чуть сложнее, но тоже реально. Процесс "smbd -D" был легко и обнаружен и убит.

Плюс за весь год н было подозрительного трафика, или действий каких-то хитрых.

А так - можно того же Мага потрясти, как время свободное у него будет. Пусть покопается. Рутовый доступ я ему, вроде, давал
 

Pazke

втянувшийся

Balancer, 05.02.2004 12:52:01:
А вот оставленный троянцем "/usr/bin/smbd -D" до сих пор неубиваем. Не запущен, конечно, но и неубиваем. Ни права поменять, ни удалить. "rm: cannot unlink `smbd -D': Operation not permitted". Думал, его до перезагрузки система чем-то держит. Так нет, и после перезагрузки та же фигня.
 

А если комманду chattr -i "/usr/bin/smbd -D" сделать, а потом удалить попробовать ?
 
+
-
edit
 

Balancer

администратор
★★★★★
[root@airbase root][color=#696969; ]# chattr -i "/usr/bin/smbd -D"[/color] [root@airbase root][color=#696969; ]# rm /usr/bin/smbd\ -D[/color] rm: remove [color=#e34adc; ]`[/color]/usr/bin/smbd -D'? y rm: cannot unlink [color=#e34adc; ]`[/color]/usr/bin/smbd -D': Operation not permitted
Created with colorer-take5 library. Type 'shell'
 
+
-
edit
 

Balancer

администратор
★★★★★
Guest, 06.02.2004 18:18:34:
А rm "/usr/bin/smbd -D" пробовал?
 

Дык, естественно
[root@airbase root][color=#696969; ]# rm "/usr/bin/smbd -D"[/color] rm: remove [color=#e34adc; ]`[/color]/usr/bin/smbd -D'? y rm: cannot unlink [color=#e34adc; ]`[/color]/usr/bin/smbd -D': Operation not permitted
Created with colorer-take5 library. Type 'shell'
 
+
-
edit
 

Mishka

модератор
★★★
Ром, попробуй выдать команду
ls [color=#808030; ]-[/color]bl [color=#808030; ]/[/color]usr[color=#808030; ]/[/color]bin[color=#808030; ]/[/color]sm[color=#808030; ]*[/color]
Created with colorer-take5 library. Type 'text'

или
ls [color=#808030; ]-[/color]blQ [color=#808030; ]/[/color]usr[color=#808030; ]/[/color]bin[color=#808030; ]/[/color]sm[color=#808030; ]*[/color]
Created with colorer-take5 library. Type 'text'

Первая выдаст восмеричные коды для непечатаемых символов, а вторая еще в кавычки заключит. Если ничего необычного не увидишь (а хохма состоит в том, чтобы набрать символ, а занимс код BackSpacw - и ты не видишь одного символа - по умолчанию, ls или терминал всегда контрольные символы интерпретирует для показа).

Еще один трюк состоит в том, что в имени файла есть знак "-" - попробуй команду

rm [color=#808030; ]&[/color]#[color=#008c00; ]151[/color][color=#808030; ];[/color] [color=#0000e6; ]"/usr/bin/smbd -D"[/color]
Created with colorer-take5 library. Type 'text'


Но, если есть специальные символы, то их так и надо вводить как ls -blQ показывает.
 
+
-
edit
 

Balancer

администратор
★★★★★
Mishka, 07.02.2004 00:39:10:
Ром, попробуй выдать команду
 

[root@airbase root][color=#696969; ]# ls -bl /usr/bin/sm*[/color] -r-xr-xr-x    [color=#008c00; ]1[/color] news    news      [color=#008c00; ]112081[/color] Апр [color=#008c00; ]15[/color]  [color=#008c00; ]2002[/color] /usr/bin/sm -rwxr-xr-x    [color=#008c00; ]1[/color] root    root      [color=#008c00; ]676623[/color] Мар [color=#008c00; ]31[/color]  [color=#008c00; ]2003[/color] /usr/bin/smbd\ -D -rwxr-xr-x    [color=#008c00; ]1[/color] root    root      [color=#008c00; ]100117[/color] Фев [color=#008c00; ]19[/color]  [color=#008c00; ]2003[/color] /usr/bin/smssend [root@airbase root][color=#696969; ]# ls -blQ /usr/bin/sm*[/color] -r-xr-xr-x    [color=#008c00; ]1[/color] news    news      [color=#008c00; ]112081[/color] Апр [color=#008c00; ]15[/color]  [color=#008c00; ]2002[/color] "/usr/bin/sm" -rwxr-xr-x    [color=#008c00; ]1[/color] root    root      [color=#008c00; ]676623[/color] Мар [color=#008c00; ]31[/color]  [color=#008c00; ]2003[/color] "/usr/bin/smbd -D" -rwxr-xr-x    [color=#008c00; ]1[/color] root    root      [color=#008c00; ]100117[/color] Фев [color=#008c00; ]19[/color]  [color=#008c00; ]2003[/color] "/usr/bin/smssend" [root@airbase root][color=#696969; ]# rm — "/usr/bin/smbd -D"[/color] rm: remove [color=#e34adc; ]`[/color]/usr/bin/smbd -D'? y rm: cannot unlink [color=#e34adc; ]`[/color]/usr/bin/smbd -D': Operation not permitted
Created with colorer-take5 library. Type 'shell'


Да и пишет же он, что удалить не может, а не что не находит :-/
 
+
-
edit
 

Mishka

модератор
★★★
Блин - — это двойной минус.
 
+
-
edit
 

Mishka

модератор
★★★
кстати, попробуй переименовать. Линь, в принципе, разрешает переименовывать файлы, когда они заблокированы. А в следующую перезагузку их можно удалять, т.к. они не запускаются.
 
+
-
edit
 

Balancer

администратор
★★★★★
Mishka, 07.02.2004 00:49:16:
Блин - — это двойной минус.
 

У меня, когда я в буфер обмена забирал, так оно и было - двойной минус. Чёрт его знает, почему он потом в дефис превратился (т.е. это штатное преобразование на форуме, но не в блоках CODE ) Баг, в общем
 
+
-
edit
 

Balancer

администратор
★★★★★
Mishka, 07.02.2004 00:52:12:
кстати, попробуй переименовать. Линь, в принципе, разрешает переименовывать файлы, когда они заблокированы. А в следующую перезагузку их можно удалять, т.к. они не запускаются.
 

Это было одно из первых действий, которые я попробовал ещё в прошлом году Сейчас попробовал повторить - то же самое. "Not permited".

Вообще - стандартная методика под виндой...
 
+
-
edit
 

Mishka

модератор
★★★
А lsof что на него говорит? Типа lsof | grep smbd?
 
+
-
edit
 

Balancer

администратор
★★★★★
Mishka, 07.02.2004 00:57:36:
А lsof что на него говорит? Типа lsof | grep smbd?
 

Пусто.
 
+
-
edit
 

Mishka

модератор
★★★
Ром, набросай программку типа:
#include [color=#808030; ]<[/color]unistd[color=#008c00; ].[/color]h[color=#808030; ]>[/color] #include [color=#808030; ]<[/color]errno[color=#008c00; ].[/color]h[color=#808030; ]>[/color] #include [color=#808030; ]<[/color]stdio[color=#008c00; ].[/color]h[color=#808030; ]>[/color] #include [color=#808030; ]<[/color]string[color=#008c00; ].[/color]h[color=#808030; ]>[/color] int main[color=#808030; ]([/color] int argc[color=#808030; ],[/color] char[color=#808030; ]*[/color] argv[color=#808030; ][[/color] [color=#808030; ]][/color] [color=#808030; ])[/color] [color=#808030; ]{[/color]   int rc[color=#808030; ];[/color]   rc [color=#808030; ]=[/color] unlink[color=#808030; ]([/color] [color=#0000e6; ]"/usr/bin/smbd -D"[/color] [color=#808030; ])[/color][color=#808030; ];[/color]   if [color=#808030; ]([/color] rc [color=#808030; ]=[/color][color=#808030; ]=[/color] [color=#808030; ]-[/color][color=#008c00; ]1[/color] [color=#808030; ])[/color]   [color=#808030; ]{[/color]     printf[color=#808030; ]([/color] [color=#0000e6; ]"errno=%d, errmsg=%s\n"[/color][color=#808030; ],[/color] errno[color=#808030; ],[/color] strerror[color=#808030; ]([/color] errno [color=#808030; ])[/color] [color=#808030; ])[/color][color=#808030; ];[/color]   [color=#808030; ]}[/color]   return [color=#008c00; ]0[/color][color=#808030; ];[/color] [color=#808030; ]}[/color]
Created with colorer-take5 library. Type 'text'

Просто посмотреть, в чем дело. Если rootkit нету в системе, то может быть sticky bit на /usr, или вся система подмотирована на чтение (кстати, можешь создать/удалить файл в /usr?)
 
+
-
edit
 

Balancer

администратор
★★★★★
Mishka, 07.02.2004 01:36:01:
Ром, набросай программку типа:
 

те же уши
errno=1, errmsg=Operation not permitted

>(кстати, можешь создать/удалить файл в /usr?)

Да, без проблем. Более того, остальные части вируса, с обычными именами тоже удалились тогда без проблем. Там и ps и ls и top и crontabs были подменены. Кстати, по подмене top'а я и сообразил, что дело не чисто, когда мне не были показаны 4 моих виртуальных процессора
 

в начало страницы | новое
 
Поиск
Настройки
Твиттер сайта
Статистика
Рейтинг@Mail.ru