חשש לגבי הימתאות של rootkit במערכת (הבאתי תקטע הבעייתי בלוג סריקה) - לינוקס, Mac ומערכות הפעלה אחרות - HWzone פורומים
עבור לתוכן
  • צור חשבון

חשש לגבי הימתאות של rootkit במערכת (הבאתי תקטע הבעייתי בלוג סריקה)


ExploiT

Recommended Posts

אוקי עלה בי החשש, שהכניסו לי רוט קיט לקופסא אז הרצתי chkrootkit וראיתי כי רוב הסריקות קילו not infected או not found, אבל לקראת הסוף קיבלתי את התואצה הבאה

Checking `lkm'... You have 1 process hidden for readdir command

You have 1 process hidden for ps command

chkproc: Warning: Possible LKM Trojan installed

Checking `rexedcs'... not found

Checking `sniffer'... eth0: PF_PACKET(/sbin/dhclient3)

Checking `w55808'... not infected

Checking `wted'... chkwtmp: deleted

Checking `scalper'... not infected

Checking `slapper'... not infected

Checking `z2'... chklastlog: deleted

Checking `chkutmp'... The tty of the following user process(es) were not found

in /var/run/utmp !

! RUID PID TTY CMD

! root 4576 tty7 /usr/bin/X :0 -br -audit 0 -auth /var/lib/gdm/:0.Xauth -nolisten tcp vt7

chkutmp: deleted

פרטים על המערכת, אובנטו דאפר 6.06 32 ביט, עם גנום, קרנל לפי uname -r

2.6.15-28-386

מה אתם אומרים האם יש מקום לדאגה?

קישור לתוכן
שתף באתרים אחרים

מבחינת חבילות הכול מעודכן לפי apt-get update ואז apt-get upgrade, אממ בנתיים, עברתי על iptables וסידרתי אותו, סגרתי שרותים שלא צריך, ומחקתי חבילות וישומים שאני לא משתמש בהם, זקוק להם.

אז מה יש לעדכן?

קישור לתוכן
שתף באתרים אחרים

אני לא מוצא סיבה לעדכן את ההפצה עצמה, מכיון וגם שהגרסה שאני משתמש בה עדיין נכמכת ומשחוררים עבורה עידכונים ועידכוני .

בכול אופן זוהי הפצה זמנית, להתלמדות ואחריה אני עובר למשהו קצת יותר אמיתי כמו פדורה\דביאן\סוזה עדיין חוקר.

קישור לתוכן
שתף באתרים אחרים

בקרוב תהיה לי פה קופסא להתנסות לגנטו, אני בכול זאת צריך שהמחשב יעבוד, והיה יציב בשביל פרויקטים שאני עובד עליהם, ואובנטו סתם מעצבנת... לא אוהב דביאן.. סתם חפירה, אני רגיל רד הט עוד ממתי שהיה רד הט 6 לפני 4-5 שנים... לכן פדורה.

בכול מקרה רציתי לשאול במערכות מבוססות רד האט, האם מנהל החבילות yum דואג לנקות חבילות שכבר לא משתשמים בהם, מנקה קבצי הורדה זמניים וכ'ו? או שיש לעשות הכול ידנית כמו ב apt?

קישור לתוכן
שתף באתרים אחרים

orphaned, חבילות שישומים שהתקנתי היו תלוים בחבילות הללו, ולאחר מחיקת הישומים החבילות תליות, נשארו.

חבילות שבורות, לא מעודכנות.

כמו כן, יש מקרים בהם אתה מוריד חבילה כלשהיא, ומחליט לבטל את זה, ואז נשארים הקבצי הורדה זמניים או חלקים של החבילה באיזה מיקום נידח.

בכול מקרה האם המנהל חבילות מטפל בזה? חיפשתי בגוגל ועדיין לא מצאתי תשובה. (אני יודע שבאובנטו ההיתי עובר כול שבוע עם הכלים (localepurge/deborphan/apt-get clean ) קיצר לפי המדריך הזה http://ubuntuforums.org/showthread.php?t=140920

האם בפדורה המצב שונה?

קישור לתוכן
שתף באתרים אחרים

ארכיון

דיון זה הועבר לארכיון ולא ניתן להוסיף בו תגובות חדשות.

×
  • צור חדש...