Автор Тема: Pscan2  (Прочетена 1920 пъти)

HarleyBG

  • Напреднали
  • *****
  • Публикации: 375
    • Профил
Pscan2
« -: May 29, 2007, 23:11 »
Не мога да разбера как се е вмъкнала тази програма на моя РС? При това стартирана с root права? Открих я след като забелзах, че нещо ми ползва връзката Up. Как да я разкарам. Имам ли връзка с мрежата. Тя се стартира автоматично
Активен

AMD Duron 800MHz, 256 MB DDR, K7S5A, VC GeForce2 32MB, HDD WD20GB

neter

  • Global Moderator
  • Напреднали
  • *****
  • Публикации: 3408
  • Distribution: Debian, SailfishOS, CentOS
  • Window Manager: LXDE, Lipstick
    • Профил
    • WWW
Pscan2
« Отговор #1 -: May 29, 2007, 23:54 »
Хмм... това не ми изглежда добре. Ако нямаш качен chkrootkit, качи го и дай да видим изход от изпълнението му.
Активен

"Да си добре приспособен към болно общество не е признак за добро здраве" - Джиду Кришнамурти

HarleyBG

  • Напреднали
  • *****
  • Публикации: 375
    • Профил
Pscan2
« Отговор #2 -: May 30, 2007, 00:31 »
chkrootkit Като се опитам да го стартирам  ми изписва segmentation fault
Половината ми команди дават тази грешка. Бях пускал специално тема за Segmentation fault и така не се реши проблема. Аз се оправих чрез един бекъп на системата. Ловя се на бас, че този  segmentation fault има нещо общо с pscan2.
Бях чел някъде, че причината за segmentation fault може да е вирус.

Нещата въобще не ми харесват  ':crazy:'  ':crazy:' .

Съвети приемам всякакви.
П.С. Може ли да съм пипнал нещо по локалната мрежа. Ако да, какво мога да направя, за да се предпаза. Sambaта може ли да ми довлече такъв проблме (не ми трябва ще я разкрам) или ме гони вече параноята  '<img'>  
 '<img'>  '<img'>  '<img'>



Активен

AMD Duron 800MHz, 256 MB DDR, K7S5A, VC GeForce2 32MB, HDD WD20GB

HarleyBG

  • Напреднали
  • *****
  • Публикации: 375
    • Профил
Pscan2
« Отговор #3 -: May 30, 2007, 02:01 »
http://www.linux-bg.org/cgi-bin....t=19393

В момента съм пак на това състояние.

Нека обобщим появява се pscan2 и след това имам потрошена система. Много лесно мога да я възстановя чрез един бекъп, но ... Това май не е правилния начин на решение на проблема. Не ми се прави възстановяване от бекъм на 2 седмици.

Съвет...

http://www.linuxquestions.org/questions/showthread.php?t=161242
Това е единственото нещо, което намерих, но не ми помага (дали не изпускам нещо?)



Активен

AMD Duron 800MHz, 256 MB DDR, K7S5A, VC GeForce2 32MB, HDD WD20GB

abscent

  • Напреднали
  • *****
  • Публикации: 123
  • Distribution: Gentoo
  • Window Manager: KDE
  • lamy lazer
    • Профил
Pscan2
« Отговор #4 -: May 30, 2007, 10:51 »
В
Цитат
http://www.linuxquestions.org/questions/showthread.php?t=161242

последния пост се казва, че проблема може да е породен от overclock на AMD-процесор...инак струва ми се прекалено лесно някой е получил root-достъп до системата....
но там се дава и един интересен съвет - може да направиш де факто нови /etc[shadow,users,group] файлове, като в тях включиш потребители и групи, само такива, които ти трябват...може да запазиш и резервни копия на тези файлове нейде, и периодично да ги сравняваш за промени. Като за начало добре е все пак да се смени и root-паролата. после аз лично бих преинсталирал важните пакети (ти сам си знаеш кои са те '<img'> ), за да се подсигуря че няма нещо зловредно, което все още работи. мисля си (поправете ме, ако греша), че има изход от това, и той съвсем не е преинсталация или възстановяване от бекъп-файл - няма никаква гаранция дали и той не е инфектиран....
всичко това - само ако случая се отнася за настолната ти система. ако не ....:)
успех
ник
Активен

Deeply in love with......Gentoo

bnight

  • Напреднали
  • *****
  • Публикации: 313
  • Distribution: Ubuntu 8.10
  • Window Manager: KDE 3.5.10
    • Профил
    • WWW
Pscan2
« Отговор #5 -: May 30, 2007, 11:00 »
по всичко изглежда че това е хакерска атака '<img'> бих те посаветвал да си прегледаш логчетата. И да видиш дали намираш нещо странно в тях. Ако си в голяма локална мрежа е много вероятно да е имало успешна атака по системата ти. Така че според мен прегледай си логовете виж дали има нещо страно после ще видим какви защитни мерки да предприемем. Успех.
Активен

Registered Linux user: 473460
http://skyhost.bg - Хостинг и Домейни

HarleyBG

  • Напреднали
  • *****
  • Публикации: 375
    • Профил
Pscan2
« Отговор #6 -: May 30, 2007, 11:08 »
Overclock не съм правил
Ресторнах от бекъп. Смених паролата веднага. chkroot ми дава това
Примерен код
ROOTDIR is `/'
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not infected
Checking `chfn'... not infected
Checking `chsh'... not infected
Checking `cron'... not infected
Checking `date'... not infected
Checking `du'... not infected
Checking `dirname'... not infected
Checking `echo'... not infected
Checking `egrep'... not infected
Checking `env'... not infected
Checking `find'... not infected
Checking `fingerd'... not infected
Checking `gpm'... not infected
Checking `grep'... not infected
Checking `hdparm'... not infected
Checking `su'... not infected
Checking `ifconfig'... not infected
Checking `inetd'... not infected
Checking `inetdconf'... not infected
Checking `identd'... not infected
Checking `init'... not infected
Checking `killall'... not infected
Checking `ldsopreload'... can't exec ./strings-static, not tested
Checking `login'... not infected
Checking `ls'... not infected
Checking `lsof'... not infected
Checking `mail'... not found
Checking `mingetty'... not found
Checking `netstat'... not infected
Checking `named'... not infected
Checking `passwd'... not infected
Checking `pidof'... not infected
Checking `pop2'... not found
Checking `pop3'... not found
Checking `ps'... not infected
Checking `pstree'... not infected
Checking `rpcinfo'... not infected
Checking `rlogind'... not infected
Checking `rshd'... not infected
Checking `slogin'... not infected
Checking `sendmail'... not infected
Checking `sshd'... not infected
Checking `syslogd'... not infected
Checking `tar'... not infected
Checking `tcpd'... not infected
Checking `tcpdump'... not infected
Checking `top'... not infected
Checking `telnetd'... not infected
Checking `timed'... not infected
Checking `traceroute'... not infected
Checking `vdir'... not infected
Checking `w'... not infected
Checking `write'... not infected
Checking `aliens'... no suspect files
Searching for sniffer's logs, it may take a while... nothing found
Searching for HiDrootkit's default dir... nothing found
Searching for t0rn's default files and dirs... nothing found
Searching for t0rn's v8 defaults... nothing found
Searching for Lion Worm default files and dirs... nothing found
Searching for RSHA's default files and dir... nothing found
Searching for RH-Sharpe's default files... nothing found
Searching for Ambient's rootkit (ark) default files and dirs... nothing found
Searching for suspicious files and dirs, it may take a while...
/usr/lib/perl5/5.8.7/i486-linux/.packlist /usr/lib/perl5/site_perl/5.8.7/i486-linux/auto/DBD/mysql/.packlist /usr/lib/perl5/site_perl/5.8.7/i486-linux/auto/DBI/.packlist /usr/lib/perl5/site_perl/5.8.7/i486-linux/auto/XML/Parser/.packlist /usr/lib/perl5/site_perl/5.8.7/i486-linux/auto/Image/Magick/.packlist /usr/lib/firefox/.autoreg /usr/lib/transgaming_cedega/.transgaming /usr/lib/qt-3.3.4/.qmake.cache /usr/lib/qt-3.3.4/examples/demo/qasteroids/sprites/.pbm /usr/lib/qt-3.3.4/examples/toplevel/.ui /usr/lib/qt-3.3.4/examples/helpdemo/.ui
/usr/lib/transgaming_cedega/.transgaming /usr/lib/qt-3.3.4/examples/toplevel/.ui /usr/lib/qt-3.3.4/examples/helpdemo/.ui
Searching for LPD Worm files and dirs... nothing found
Searching for Ramen Worm files and dirs... nothing found
Searching for Maniac files and dirs... nothing found
Searching for RK17 files and dirs... nothing found
Searching for Ducoci rootkit... nothing found
Searching for Adore Worm... nothing found
Searching for ShitC Worm... nothing found
Searching for Omega Worm... nothing found
Searching for Sadmind/IIS Worm... nothing found
Searching for MonKit... nothing found
Searching for Showtee... nothing found
Searching for OpticKit... nothing found
Searching for T.R.K... nothing found
Searching for Mithra... nothing found
Searching for OBSD rk v1... nothing found
Searching for LOC rootkit... nothing found
Searching for Romanian rootkit... nothing found
Searching for Suckit rootkit... nothing found
Searching for Volc rootkit... nothing found
Searching for Gold2 rootkit... nothing found
Searching for TC2 Worm default files and dirs... nothing found
Searching for Anonoying rootkit default files and dirs... nothing found
Searching for ZK rootkit default files and dirs... nothing found
Searching for ShKit rootkit default files and dirs... nothing found
Searching for AjaKit rootkit default files and dirs... nothing found
Searching for zaRwT rootkit default files and dirs... nothing found
Searching for Madalin rootkit default files... nothing found
Searching for Fu rootkit default files... nothing found
Searching for ESRK rootkit default files... nothing found
Searching for anomalies in shell history files... nothing found
Checking `asp'... not infected
Checking `bindshell'... not infected
Checking `lkm'... Checking `rexedcs'... not found
Checking `sniffer'... not tested: can't exec ./ifpromisc
Checking `w55808'... not infected
Checking `wted'... not tested: can't exec ./chkwtmp
Checking `scalper'... not infected
Checking `slapper'... not infected
Checking `z2'... not tested: can't exec ./chklastlog
Checking `chkutmp'... not tested: can't exec ./chkutmp


Довечера може да разгледам логове да видя дали нещо пак става.



Активен

AMD Duron 800MHz, 256 MB DDR, K7S5A, VC GeForce2 32MB, HDD WD20GB

voyager

  • Напреднали
  • *****
  • Публикации: 152
    • Профил
Pscan2
« Отговор #7 -: May 30, 2007, 12:46 »
Проблема най-вероятно няма нищо общо с хардуера.
chkrootkit-а няма как да ти даде че "нещо мъти водата" -  след като си възстановил чисто копие от системата, пък било то и отпреди 2 седмици. Проблема е, че ако става въпрос за злонамерени действия същия или друг човек може да използва същата вратичка... ако разбира се - това му е нужно.

Някакви обновявания правил ли си? Някакви промени по системата?



Активен

HarleyBG

  • Напреднали
  • *****
  • Публикации: 375
    • Профил
Pscan2
« Отговор #8 -: May 30, 2007, 13:19 »
Всички пакети, които съм обновявал са от linuxpackages. Пакети обновявам обикновено когато не иска да ми тръгне някоя програма
Активен

AMD Duron 800MHz, 256 MB DDR, K7S5A, VC GeForce2 32MB, HDD WD20GB