Собственно сабж. По своей дурости получил сегодня ночью, хорошо хоть сразу заметил бяку. Как убрать - KAV, DRWEB не ловят.
Сhkrootkit -
Checking `ls'... INFECTED
Checking `netstat'... INFECTED
Checking `ps'... INFECTED
Checking `top'... INFECTED
Searching for Suckit rootkit ... Warning: /sbin/init INFECTED
Checking `lkm'... You have     7 process hidden for ps command
чем зверюку выловить и вытравить?

• Suckit rootkit - как ибавиться?,shaman, 14:09 , 09-Авг-04
  • Suckit rootkit - как ибавиться?,SergeiWind, 14:12 , 09-Авг-04
    • Suckit rootkit - как ибавиться?,shaman, 14:47 , 09-Авг-04
      • Suckit rootkit - как ибавиться?,SergeiWind, 14:54 , 09-Авг-04
        • Suckit rootkit - как ибавиться?,Z0termaNN, 15:22 , 09-Авг-04
          • Suckit rootkit - как ибавиться?,SergeiWind, 16:04 , 09-Авг-04
• Suckit rootkit - как ибавиться?,hromach, 15:47 , 09-Авг-04
  • Suckit rootkit - как ибавиться?,SergeiWind, 15:53 , 09-Авг-04
    • Suckit rootkit - как ибавиться?,SergeiWind, 21:11 , 09-Авг-04
      • Suckit rootkit - как ибавиться?,ovax, 05:11 , 10-Авг-04

>Собственно сабж. По своей дурости получил сегодня ночью, хорошо хоть сразу заметил
>бяку. Как убрать - KAV, DRWEB не ловят.
>Сhkrootkit -
>Checking `ls'... INFECTED
>Checking `netstat'... INFECTED
>Checking `ps'... INFECTED
>Checking `top'... INFECTED
>Searching for Suckit rootkit ... Warning: /sbin/init INFECTED
>Checking `lkm'... You have     7 process hidden for
>ps command
>чем зверюку выловить и вытравить?

1. Разобраться, _как_ поставили.
2. Из бэкапа
3. Инфицирован init, переустановить пакет (или собрать из порта или еще как-нибудь в зависимости от ОС).

>1. Разобраться, _как_ поставили.
>2. Из бэкапа
>3. Инфицирован init, переустановить пакет (или собрать из порта или еще как-нибудь
>в зависимости от ОС).

>1. Разобраться, _как_ поставили. - сам виноват, настраивал httpd - забыл прибить юзера test c паролем test - проверял userdir запросы, блин...

Linux RedHat 9.0

а если с соседней "чистой" системы эти файлы просто переложить поверху?

>>1. Разобраться, _как_ поставили.
>>2. Из бэкапа
>>3. Инфицирован init, переустановить пакет (или собрать из порта или еще как-нибудь
>>в зависимости от ОС).
>
>
>>1. Разобраться, _как_ поставили. - сам виноват, настраивал httpd - забыл прибить юзера test c паролем test - проверял userdir запросы, блин...
>
>Linux RedHat 9.0
>
>а если с соседней "чистой" системы эти файлы просто переложить поверху?
Если версия такая же - почему бы и нет.
А не проще из rpm поставить?

>Если версия такая же - почему бы и нет.

Сегодня вечером привезут сервак - попробую перезаписать.
Сделал ему ifconfig eth0 down на всякий случай, потому что halt уже не работает :(

>А не проще из rpm поставить?

Ага, если б еще нъУбу кто ни будь подсказал в каких rpm это все лежит...

>>Если версия такая же - почему бы и нет.
>
>Сегодня вечером привезут сервак - попробую перезаписать.
>Сделал ему ifconfig eth0 down на всякий случай, потому что halt уже
>не работает :(
>
>>А не проще из rpm поставить?
>
>Ага, если б еще нъУбу кто ни будь подсказал в каких rpm
>это все лежит...

rpm -qf /path/to/file
и будет тебе счастье

>и будет тебе счастье

# rpm -qf /bin/ls
coreutils-4.5.3-19.0.2

:)))))))))) Спасбо :))))))))

Сhkrootkit имел бал 2 недели назад, возможно еще не исправили, так что скорей всего у тебя все в порядке, просто он неправильно показывает

>Сhkrootkit имел бал 2 недели назад, возможно еще не исправили, так что
>скорей всего у тебя все в порядке, просто он неправильно показывает
>

Да не очень в порядке, если на

#halt

получаю

The system is going down for system halt NOW!
/dev/null
RK_Init: idt=0xc03ad000, sct[]=0xc033a5f4, FUCK: Can't find kmalloc()!

Народ, помогайте.
Не могу ни поменять атрибуты ни удалить зараженные файлы, даже если гружусь с компакт-диска.
Что делать то?

>Народ, помогайте.
>Не могу ни поменять атрибуты ни удалить зараженные файлы, даже если гружусь
>с компакт-диска.
>Что делать то?

lsattr, chattr