- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Все что нужно знать о DDоS-атаках грамотному менеджеру
И как реагировать на "пожар", когда неизвестно, где хранятся "огнетушители
Антон Никонов
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Добрый день, нужен совет опытных админов.
Наш сервер под debian lenny заразился руткитом. Выражается это, в том числе, в том, что многие исполняемые файлы (ls, top, и т.д.) имеют атрибуты
-rwxr-xr-x 1 122 haldaemo
При этом таких пользователя и группы на данный момент не существует. Пользователя и группу файлов не поменять из-под рута, файлы не удалить - на все попытки выдается сообщение "Operation not permitted". При этом команда top, например, не работает - пишет что не может найти библиотеку, хотя она на месте.
Вопроса два.
Первый - можно ли как-то вылечить систему или без переустановки не обойтись? Утилиты типа chkrootkit и rkhunter только сканируют систему, вручную, как уже описано, зараженные файлы не удалить. Есть ли утилиты, которые могут помочь?
Второй вопрос - как не допустить такой ситуации в будущем? На сервере подняты http- и ftp- сервера, открыт доступр по ssh, работает dns-сервер, соответствующие порты открыты. Никакой специальной защиты не использовалось.
Спасибо за помощь.
о госпаде.. у всех что ли беды последний месяц?
постучите... 316862
только переустанавливать.
бэкдоры где угодно могут быть оставлены.
Либо делаете снимок md5 дистрибутивных файлов, пакетно сравниваете с текущими, всё что не совпало, ручками проверяете. долго и муторно.
Первый - можно ли как-то вылечить систему или без переустановки не обойтись?
Нет, нельзя. Диски с зараженного сервера имеет смысл скопировать в сторонку - можно потом посмотреть в чем было дело.
Утилиты типа chkrootkit и rkhunter только сканируют систему, вручную, как уже описано, зараженные файлы не удалить. Есть ли утилиты, которые могут помочь?
Утилита, скорее всего - man. Убедитесь, что на файлы не выставлены к-л атрибуты, запрещающие модификацию (man lsattr, man chattr).
Второй вопрос - как не допустить такой ситуации в будущем? На сервере подняты http- и ftp- сервера, открыт доступр по ssh, работает dns-сервер, соответствующие порты открыты. Никакой специальной защиты не использовалось.
Переустановите с нуля и пусть сервер просетапит нормальный администратор.
Насчет "специальной защиты" риторический вопрос - а какая "неспециальная" использовалась?
pupseg, огромное спасибо за помощь. Уважаю профи!
Добрый день, нужен совет опытных админов.
Второй вопрос - как не допустить такой ситуации в будущем? На сервере подняты http- и ftp- сервера, открыт доступр по ssh, работает dns-сервер, соответствующие порты открыты. Никакой специальной защиты не использовалось.
Спасибо за помощь.
О еще один. Советую заказывать первоначальную настройку сервера у специалиста. А серваку в такой ситуации - только реинсталл.