- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Маркетинг для шоколадной фабрики. На 34% выше средний чек
Через устранение узких мест
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Добрый день, нужен совет опытных админов.
Наш сервер под debian lenny заразился руткитом. Выражается это, в том числе, в том, что многие исполняемые файлы (ls, top, и т.д.) имеют атрибуты
-rwxr-xr-x 1 122 haldaemo
При этом таких пользователя и группы на данный момент не существует. Пользователя и группу файлов не поменять из-под рута, файлы не удалить - на все попытки выдается сообщение "Operation not permitted". При этом команда top, например, не работает - пишет что не может найти библиотеку, хотя она на месте.
Вопроса два.
Первый - можно ли как-то вылечить систему или без переустановки не обойтись? Утилиты типа chkrootkit и rkhunter только сканируют систему, вручную, как уже описано, зараженные файлы не удалить. Есть ли утилиты, которые могут помочь?
Второй вопрос - как не допустить такой ситуации в будущем? На сервере подняты http- и ftp- сервера, открыт доступр по ssh, работает dns-сервер, соответствующие порты открыты. Никакой специальной защиты не использовалось.
Спасибо за помощь.
о госпаде.. у всех что ли беды последний месяц?
постучите... 316862
только переустанавливать.
бэкдоры где угодно могут быть оставлены.
Либо делаете снимок md5 дистрибутивных файлов, пакетно сравниваете с текущими, всё что не совпало, ручками проверяете. долго и муторно.
Первый - можно ли как-то вылечить систему или без переустановки не обойтись?
Нет, нельзя. Диски с зараженного сервера имеет смысл скопировать в сторонку - можно потом посмотреть в чем было дело.
Утилиты типа chkrootkit и rkhunter только сканируют систему, вручную, как уже описано, зараженные файлы не удалить. Есть ли утилиты, которые могут помочь?
Утилита, скорее всего - man. Убедитесь, что на файлы не выставлены к-л атрибуты, запрещающие модификацию (man lsattr, man chattr).
Второй вопрос - как не допустить такой ситуации в будущем? На сервере подняты http- и ftp- сервера, открыт доступр по ssh, работает dns-сервер, соответствующие порты открыты. Никакой специальной защиты не использовалось.
Переустановите с нуля и пусть сервер просетапит нормальный администратор.
Насчет "специальной защиты" риторический вопрос - а какая "неспециальная" использовалась?
pupseg, огромное спасибо за помощь. Уважаю профи!
Добрый день, нужен совет опытных админов.
Второй вопрос - как не допустить такой ситуации в будущем? На сервере подняты http- и ftp- сервера, открыт доступр по ssh, работает dns-сервер, соответствующие порты открыты. Никакой специальной защиты не использовалось.
Спасибо за помощь.
О еще один. Советую заказывать первоначальную настройку сервера у специалиста. А серваку в такой ситуации - только реинсталл.