Dmitry Belyavsky (beldmit) wrote,
Dmitry Belyavsky
beldmit

Categories:

Рисуем звездочку на фюзеляже

Восстановил сегодня систему после руткита. Спасибо vitus_wagner за консультации на тему того, как заменить пакеты, располагая безопасным носителем, и alexkuklin за ликвидацию последствий ликвидации.

Итак, грузимся с чистой системы (установочный образ lenny). Восстанавливаем пакеты, запускаем chkrootkit (тьфу на авторов системы - могли бы и положить на диск). Видим руткит. Время от времени повторяем проверки - и снова его видим.

Через какое-то время я убедился, что руткит не особо хитрый, просто поганит файлы, и более ничем не замечателен, и стал искать изменненные файлы по дате - поскольку конструкция примитивная, то дата равна дате модификации руткитом, а для родных файлов она все-таки в прошлом заметно.

Как же я матерился, когда понял, что руткит живет в chkrootkit!

Дальше - проще. Руткит вычистить, запретить логин рутом по ssh, запретить логин по паролю. debsums. Сменить секретный ключ. Вроде все.

Продолжение последовало позже, когда выяснилось, что теперь виндовый комп сетку не видит. Но тоже разгреблось.
Tags: компьютерное
Subscribe

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 4 comments