Вирус создает call файлы

akmonk · Сообщение **akmonk** » 04 июл 2011, 23:33

В общем за день ничего подозрительного не произошло, я не перезагружал сервер в рабочее время. Сейчас перезагрузил, буду внимательно следить за логами.
Из каталога крона я удалил запись следующего содержания: 12 * * * * root chown root.root /tmp/sh; chmod u+s /tmp/sh. В каталоге /tmp ничего подозрительного нет. У этого файла крона владелец был apache и к тому же дата у файла была 4 марта. У меня еще попутный вопрос, может ли вирус подменять дату изменения файла?
Проверил конфиги Asterisk'a с сохраненными - никаких изменений нет. Проверил список автозагрузки, никаких подозрительных файлов нет, проверил даты изменения файлов - тоже в норме. Поставил rkhunter, настроил, теперь будет проверять изменения в файлах, но это скорее на будущее, учитывая, что трояна я еще не нашел.

ded · Сообщение **ded** » 04 июл 2011, 23:45

Если у этого файла крона владелец был apache, то скрипт /tmp/sh создавался через вэб, типа РНР-inject, и конечно ему после создания надо повысить полномочия до
root chown root.root /tmp/sh chmod u+s /tmp/sh

akmonk · Сообщение **akmonk** » 04 июл 2011, 23:59

Еще вопрос на счет изменения папки outgoing. Как я понимаю чтобы изменить местоположение папки spool, нужно создать файл (т.к. сейчас у меня его нет) /etc/asterisk/asterisk.conf и вписать
[directories]
astspooldir => /var/spool_new/asterisk
Соответственно изменится и местоположение папки outgoing. А отдельно есть константа чтобы переназначить только папку outgoing?

tma · Сообщение **tma** » 05 июл 2011, 00:26

akmonk писал(а): Из каталога крона я удалил запись следующего содержания: 12 * * * * root chown root.root /tmp/sh; chmod u+s /tmp/sh.

Можно создать отдельную файловую систему /tmp и монтировать ее с noexec.
Правда кривые программы могут отвалиться (вроде этим mc страдал раньше).
Хотя данный вариант тоже обходится. Еще можно наложить специальные патчи на ядро из Owl -- они как раз с этим примитивным и самым распространенным вариантом борются.
Имя файла cron'а какое было?

akmonk · Сообщение **akmonk** » 05 июл 2011, 00:35

tma писал(а):Имя файла cron'а какое было?

"updatedb"
я думаю это осталось с прошлого нашествия когда трой залез через уязвимость в phpmyadmin, тогда сам вирус я удалил, pma переименовал, и запрятал поглубже. Он тогда как раз орудовал из /tmp. Создал кучу вложенных каталогов с именем " ". Крон я тоже чистил, но видимо не везде.

tma · Сообщение **tma** » 05 июл 2011, 02:29

Вопрос -- каким образом phpmyadmin смог создать файл в /var/spool/cron не имея root'овых привилегий?
Какие у Вас права на /var/spool/cron?
Конечно к данному делу это не относится, но похоже, что у Вас сервер -- одна большая дырка...

Вирус создает call файлы

Re: Вирус создает call файлы

Re: Вирус создает call файлы

Re: Вирус создает call файлы

Re: Вирус создает call файлы

Re: Вирус создает call файлы

Re: Вирус создает call файлы