Записи в `/etc/inittab` ниже последней строки - возможно взломать?
Возможный дубликат:
Мой сервер был взломан АВАРИЙНЫЙ
Моя Linux машина была взломана в последнее время.
В каталоге /etc/inittab есть несколько записей
#end of /etc/inittab
Что-то вроде:
#Loading standard ttys
0:2345:once:/usr/sbin/ttyload
У меня также есть несколько строк:
2:2345:respawn:/sbin/mingetty tty2
3:2345:respawn:/sbin/mingetty tty3
.
.
.
Я знаю что мой /usr/sbin/ttyload был взломан, и я удалил его, но я не знаю, нужен ли мне это inittab, и не имел ли я ttyload раньше. Этот файл распространен?
Должен ли я удалить эту строку?
3 ответа
Да, эту строку нужно удалить. Это скрипт хакера, который вызывает два зараженных файла и т.д...
Это необходимо для повторного заражения системы при загрузке... Другая часть извлечения руткитов заключается в том, что вы не в безопасности, пока не определите, какие существуют бэкдоры или триггеры для повторного заражения вашей системы.
Команда rpm verify, которую я дал в предыдущем вопросе, также проверяет файлы конфигурации, чтобы показать, что изменилось по умолчанию в пакете.
rpm -vVa | grep 'S\.5\.\.\.\.\T' выведет измененные двоичные файлы и файлы конфигурации (обозначается буквой "c")
Например:
S.5....T c /etc/httpd/conf/httpd.conf
S.5....T c /etc/snmp/snmpd.conf
"С" означает, что файл конфигурации изменился. rpm -qf /path/to/file покажет вам пакет, содержащий файл. Вы можете стереть или переместить файл и переустановить пакет rpm, чтобы перезаписать его.
Строки с Mingetty должны остаться там. Проще говоря, есть номер консоли, к которой вы можете получить доступ с помощью ctrl+alt+f{1-6}. Обычно 7-е - это ваша графическая среда.
О ttyload, так как он не находится в вашей системе, вам не нужна эта строка.