- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Зачем быть уникальным в мире, где все можно скопировать
Почему так важна уникальность текста и как она влияет на SEO
Ingate Organic
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Пару дней назад на сервере начались проблемы, то почта упадёт, то утилиты глючат.
После не долгих разбирательств понял что повреждены все утилиты пакета procps.
top ps pkill w uptime и так далее ...
Например top и ps вместо имён пользователей, даже для коротких юзеров показывает только их UID.
w - вообще не показывает кто сейчас авторизован в шелле...
Часто от этих команд вылазят надписи вида: Unknown HZ value! (89) Assume 100.
Попробовал обновить procps выдаёт:
unable to make backup link of `./usr/bin/uptime' before installing new version: Operation not permitted
Пошёл дальше смотерть ч то с этим файлом, отсортировал по дате изменения /usr/bin и увидел все утилиты procps изменённые в 2 дня назад.
Что самое интересное, все они примерно одинакового размера, 500кб, хотя на другом сервере эти утилиты вестя в пределах 10кб, тут возникает только одна мысль, их подменили, так как сисадмину приходится запускать их от root пользователя то получается вечный очень умный rootkit. Что он делает я не пойму, замечал только что падает почта и куча ошибок в exime, была заметна попытка подмены конфига, но не удалась.
А теперь самое интересное, хочу удалить нафиг все эти файлы чтобы переустановит пакет, и вот что выходит:
unlink /usr/bin/uptime
unlink: cannot unlink `/usr/bin/uptime': Operation not permitted
Как же так, ведь я под root пользователем. Почему же не удаляется фаил? залочен?
Кто нибудь встречался с подобным? Как с таким бороться, только переустановкой OS?
Гуглил 2 дня, но так и не нашёл никаких вирей и руткитов похожих под моё описание :(
повреждение файловой системы?
PS. или может на самом деле ломанули через дырку в эксиме. попыток ее использования было много в последнее время.
Про невозможность удаления: http://phpsuxx.blogspot.com/2010/01/blog-post_4886.html
Лучше реинсталл машины. Найти все концы руткита - почти нереально.
Спасибо за ответы, забыл про атрибуты :)
Обновил пакеты, пропатчил, перезагрузил, проверил процессики, вроде всё чисто, посмотрим на сколько хватит такой зачистки...
chattr -ia /bin/ps
chattr -ia /bin/kill
chattr -ia /sbin/sysctl
chattr -ia /usr/bin/free
chattr -ia /usr/bin/pgrep
chattr -ia /usr/bin/pkill
chattr -ia /usr/bin/pmap
chattr -ia /usr/bin/pwdx
chattr -ia /usr/bin/skill
chattr -ia /usr/bin/slabtop
chattr -ia /usr/bin/snice
chattr -ia /usr/bin/tload
chattr -ia /usr/bin/top
chattr -ia /usr/bin/uptime
chattr -ia /usr/bin/vmstat
chattr -ia /usr/bin/w
chattr -ia /usr/bin/watch
unlink /usr/bin/w
ln -s /etc/alternatives/w /usr/bin/w
apt-get --reinstall install procps
Одного реинсталла мало - надо было изучить как проломали и при следующем реинсталле защитить сервак. Иначе снова ломанут.