Описание тега rootkit
1
ответ
Как обнаружить биос руткитов на материнской плате сервера?
Недавно я читал о выступлении Кори Калленберга и Ксено Кова, которое было дано на конференции CanSecWest, в котором описывается, как можно перепрограммировать встроенное ПО системной платы сервера для включения вредоносного программного обеспечения.…
24 мар '15 в 11:07
1
ответ
Найдите скрипт, который пишет в /var/tmp
Я обнаружил, что один из моих разделов был заполнен. rootfs 20G 1,8G 17G 10% / /dev/root 20G 1,8G 17G 10% / devtmpfs 7,8G 184K 7,8G 1% /dev none 7,8G 0 7,8G 0% /dev/shm none 7,8G 600K 7,8G 1% /var/run none 7,8G 0 7,8G 0% /var/lock none 7,8G 0 7,8G 0…
29 окт '14 в 11:33
1
ответ
Рхунтер вызвал вчера вечером предупреждение о возможной инфекции. Что дальше?
Прошлой ночью rkhunter вызвал следующие предупреждения: [04:10:23] Warning: Network TCP port 32982 is being used by /usr/lib/apache2/mpm-prefork/apache2. Possible rootkit: Solaris Wanuk Use the 'lsof -i' or 'netstat -an' command to check this. [04:1…
27 фев '13 в 11:19
6
ответов
Антируткит-программы
Какую программу вы используете для обнаружения руткитов? Откуда ты знаешь, чему доверять?
04 май '09 в 16:28
2
ответа
Выполняется процесс с высокой загрузкой процессора, но top/htop показывает ВСЕ процессорные процессоры 0%?
Все . Я эти странные серверы не могу объяснить следующим образом: HTOP 1 [||||||||||||||| 28.5%] Tasks: 53 total, 1 running 2 [|||||||||||||||| 31.1%] Load average: 0.00 0.00 0.00 3 [|||||||||||||||| 30.5%] Uptime: 211 days(!), 02:21:04 4 [| 0.7%] M…
19 ноя '11 в 17:56
5
ответов
Боль, удаляющая perl руткит
Итак, мы размещаем веб-сервер геосервиса в офисе. Кто-то, по-видимому, взломал этот ящик (возможно, через ftp или ssh), и поместил какую-то руткит с IRC-управлением. Сейчас я пытаюсь все исправить, я нашел pid процесса, который пытается соединиться …
11 ноя '10 в 16:23
1
ответ
RKHunter сообщает об изменении свойств файла, но разной длины хэша
RKHunter сообщает об изменении свойств файла, но странным является то, что длина хэша отличается в текущем хеше в сохраненном хэше. [11:47:13] Warning: The file properties have changed: [11:47:13] File: /sbin/chkconfig [11:47:13] Current hash: f01e6…
09 сен '13 в 09:52
1
ответ
Проверьте все двоичные файлы Debian по контрольной сумме оригинала
Я хотел бы проверить все двоичные файлы на моем сервере с dpkg -e <path_to_deb_package> <destination> (например, rkhunter может сделать эту проверку на оригиналы при выполнении probupdate) Как я могу проверить все пакеты одним скриптом?
24 окт '13 в 17:07
0
ответов
chkrootkit awk не найден
Я использую Chkrootkit 0,53 на моем Ubuntu Dekstop 18.04 Когда я делал сканирование с ` ./chkrootkit -p / folder это дает мне ошибку chkrootkit: can't find 'awk' . Может ли кто-нибудь помочь? Спасибо
27 мар '19 в 02:04
2
ответа
Может быть, "chkrootkit" просто не любит файлы.hmac, .packlist и.relocation-tag?
Я только что очистил свой взломанный сервер CentOS (из-за отсутствия обновлений с версии 5.3). Но все же "чкрооткит" говорит так: Possible t0rn v8 \(or variation\) rootkit installed /usr/lib/.libfipscheck.so.1.1.0.hmac /usr/lib/.libgcrypt.so.11.hmac…
08 окт '12 в 16:58
4
ответа
Мой компьютер отправляет ICMP-пакеты в произвольные пункты назначения
Мой компьютер отправляет ICMP-пакеты в произвольные пункты назначения. Я не могу понять причину. Дамп одного из пакетов: Internet Control Message Protocol Type: 3 (Destination unreachable) Code: 3 (Port unreachable) Checksum: 0x811b [correct] Intern…
14 фев '11 в 19:02
3
ответа
Странный набор команд оболочки в.bash_history рута
Вероятно, я только что обнаружил, что пользователь на моем сервере имеет root-права на моем сервере, но я не об этом. Кто-нибудь когда-либо видел команды, подобные этим: echo _EoT_0.249348813417008_; id; echo _EoT_0.12781402577841_; echo $PATH &…
22 ноя '10 в 18:57
6
ответов
Проверять целостность системы Debian после возможного руткита?
У меня есть система, которая, возможно, была руткитирована (бот IRC был установлен и атрибуты +ai были установлены в /usr/bin, /usr/sbin, /bin, /sbin). IRC-боты были удалены, и система была обновлена до 5.0.4 с 4.0. Боюсь, что что-то в упомянутых …
19 мар '10 в 06:45
5
ответов
Передача всего Linux-сервера под контроль исходного кода (git)
Я думаю о том, чтобы поставить весь мой Linux-сервер под контроль версий с помощью git. Причиной этого является то, что это может быть самым простым способом обнаружения вредоносных модификаций / руткитов. Все, что я наивно считаю, необходимо провер…
17 мар '11 в 15:40
1
ответ
Как удалить руткит без антируткит-программы?
Возможный дубликат: Мой сервер был взломан АВАРИЙНЫЙ Windows 2000 Server. Я считаю, что у меня есть руткит. Но ничто не удалит это. Я перепробовал все. Даже инструменты, предназначенные только для сканирования, выходят из строя или активируют работу…
14 май '12 в 14:45
3
ответа
Записи в `/etc/inittab` ниже последней строки - возможно взломать?
Возможный дубликат: Мой сервер был взломан АВАРИЙНЫЙ Моя Linux машина была взломана в последнее время. В каталоге /etc/inittab есть несколько записей #end of /etc/inittab Что-то вроде: #Loading standard ttys 0:2345:once:/usr/sbin/ttyload У меня такж…
05 окт '12 в 11:59
2
ответа
Сканирование руткитов
Есть ли хорошие сервисы или способы сканирования руткитов и бэкдоров? Я знаю, что есть rkhunter и chkrootkit, но они даже больше идеальны? Они никогда не кажутся обновленными и больше похожи на то, что они были хороши в начале 2000-х.
13 июн '12 в 20:39
2
ответа
ifconfig показывает неправильное количество байтов RX/TX
ifconfig сообщает для eth0 некоторое значение RX = 2,8 ГБ, значение TX = 1,3 ГБ, которое не может быть реальным, поскольку недавно я передал много файлов размером 10 ГБ + через eth0. я бы хотел знать если это просто обычное целочисленное переполнени…
23 июл '10 в 13:44
1
ответ
Взломанный сервер CentOS 5 - возможен ли установлен руткит?
Возможный дубликат: Как я узнаю, что мой Linux-сервер был взломан? Мой сервер был взломан АВАРИЙНЫЙ Я использую CentOS 5.3 и вот результат "chkrootkit": Possible t0rn v8 \(or variation\) rootkit installed Warning: Possible Showtee Rootkit installed …
04 окт '12 в 11:09
2
ответа
Как заменить зараженные файлы `/lib/libsh.so` и`/etc/sh.conf`?
Возможный дубликат: Мой сервер был взломан АВАРИЙНЫЙ К какому пакету принадлежит файл /lib/libsh.so? Мне нужно заменить его, так как он был заражен. То же самое для /etc/sh.conf. Сейчас я перенес его в /temp/libsh.so.infected. Могу я просто удалить …
05 окт '12 в 10:57