Dmitry Belyavsky (beldmit) wrote,
Dmitry Belyavsky
beldmit

Categories:

Рисуем звездочку на фюзеляже

Восстановил сегодня систему после руткита. Спасибо vitus_wagner за консультации на тему того, как заменить пакеты, располагая безопасным носителем, и alexkuklin за ликвидацию последствий ликвидации.

Итак, грузимся с чистой системы (установочный образ lenny). Восстанавливаем пакеты, запускаем chkrootkit (тьфу на авторов системы - могли бы и положить на диск). Видим руткит. Время от времени повторяем проверки - и снова его видим.

Через какое-то время я убедился, что руткит не особо хитрый, просто поганит файлы, и более ничем не замечателен, и стал искать изменненные файлы по дате - поскольку конструкция примитивная, то дата равна дате модификации руткитом, а для родных файлов она все-таки в прошлом заметно.

Как же я матерился, когда понял, что руткит живет в chkrootkit!

Дальше - проще. Руткит вычистить, запретить логин рутом по ssh, запретить логин по паролю. debsums. Сменить секретный ключ. Вроде все.

Продолжение последовало позже, когда выяснилось, что теперь виндовый комп сетку не видит. Но тоже разгреблось.
Tags: компьютерное
Subscribe

  • К позавчерашнему падению фейсбука

    Довольно смелое утверждение от технарей, которое я слышал от нескольких разумных людей. Будь у фейсбука второй DNS, внешний по отношению к первому,…

  • OMIGOD — уязвимости Azure Open Management Infrastructure (OMI)

    Блог об информационной безопасности уже некоторое время как не веду, но не могу молчать. Azure устанавливала своего управляющего агента на…

  • До чего техника дошла

    Узнал про существование устройств , которые используют домашнюю проводку в качестве сетевого кабеля. Ну то есть про такое я слышал в своё время в…

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 4 comments