Рисуем звездочку на фюзеляже
Dec. 22nd, 2008 12:31 am![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
beldmitВосстановил сегодня систему после руткита. Спасибо ![[livejournal.com profile]](https://www.dreamwidth.org/img/external/lj-userinfo.gif)
vitus_wagner за консультации на тему того, как заменить пакеты, располагая безопасным носителем, и alexkuklin за ликвидацию последствий ликвидации.
Итак, грузимся с чистой системы (установочный образ lenny). Восстанавливаем пакеты, запускаем chkrootkit (тьфу на авторов системы - могли бы и положить на диск). Видим руткит. Время от времени повторяем проверки - и снова его видим.
Через какое-то время я убедился, что руткит не особо хитрый, просто поганит файлы, и более ничем не замечателен, и стал искать изменненные файлы по дате - поскольку конструкция примитивная, то дата равна дате модификации руткитом, а для родных файлов она все-таки в прошлом заметно.
Как же я матерился, когда понял, что руткит живет в chkrootkit!
Дальше - проще. Руткит вычистить, запретить логин рутом по ssh, запретить логин по паролю. debsums. Сменить секретный ключ. Вроде все.
Продолжение последовало позже, когда выяснилось, что теперь виндовый комп сетку не видит. Но тоже разгреблось.
vitus_wagner за консультации на тему того, как заменить пакеты, располагая безопасным носителем, и alexkuklin за ликвидацию последствий ликвидации.Итак, грузимся с чистой системы (установочный образ lenny). Восстанавливаем пакеты, запускаем chkrootkit (тьфу на авторов системы - могли бы и положить на диск). Видим руткит. Время от времени повторяем проверки - и снова его видим.
Через какое-то время я убедился, что руткит не особо хитрый, просто поганит файлы, и более ничем не замечателен, и стал искать изменненные файлы по дате - поскольку конструкция примитивная, то дата равна дате модификации руткитом, а для родных файлов она все-таки в прошлом заметно.
Как же я матерился, когда понял, что руткит живет в chkrootkit!
Дальше - проще. Руткит вычистить, запретить логин рутом по ssh, запретить логин по паролю. debsums. Сменить секретный ключ. Вроде все.
Продолжение последовало позже, когда выяснилось, что теперь виндовый комп сетку не видит. Но тоже разгреблось.
![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
no subject
Date: 2008-12-22 06:45 am (UTC)no subject
Date: 2008-12-22 07:35 am (UTC)no subject
Date: 2008-12-22 04:18 pm (UTC)no subject
Date: 2008-12-22 05:40 pm (UTC)