OpenForum RSS: Как обнаружить трояна? https://www.opennet.ru/openforum/vsluhforumID10/3856.html os: freebsd 6.3<br><br>Люди добрые, подскажите новичку:<br>Как выловить программу (троян) которая сидит на сервере и ддосит сеть провайдера?<br><br>В tcpdump видно периодически (сразу около 100 таких строк подрят):<br><br>00:53:56.177726 IP ххххххххххххх.33230 &gt; ххххххххххххххх.ms-sql-s: S 4052544520:4052544520(0) win 64240 &lt;mss 1460,nop,nop,sackOK&gt;<br><br>netstat и sockstat ничего не показывают.<br>clamav и rootkit hunter тоже ничего ненашли.<br><br>Подскажите хотябы в какую сторону капать????<br>Заранее спасибо!!!<br> Как обнаружить трояна? (Andrey Mitrofanov) https://www.opennet.ru/openforum/vsluhforumID10/3856.html#5 Wed, 25 Jun 2008 06:49:55 GMT &gt;а как он вообще на сервер может попасть?! <br><br>В. Деревянной. Лошади. $)<br> Как обнаружить трояна? (vagif) https://www.opennet.ru/openforum/vsluhforumID10/3856.html#4 Wed, 25 Jun 2008 06:37:56 GMT <br>&gt;&gt;он пишет: <br>&gt;&gt;Checking `date'... INFECTED <br>&gt;&gt;<br>&gt;Переустанавливать(восстанавливать) систему. Надо быть очень наивным, чтобы после обнаружения трояна на сервере <br>&gt;думать, что инфицирован только один файл .. <br><br>а как он вообще на сервер может попасть?!<br> Как обнаружить трояна? (О. Бендер) https://www.opennet.ru/openforum/vsluhforumID10/3856.html#3 Wed, 25 Jun 2008 03:18:30 GMT &gt;&gt;chkrootkit <br>&gt;<br>&gt;он пишет: <br>&gt;Checking `date'... INFECTED <br>&gt;<br>&gt;Заменяю его оригинальным файлом (/bin/date), а он на него всё равно ругается. <br>&gt;<br>&gt;как быть? <br><br>Переустанавливать(восстанавливать) систему. Надо быть очень наивным, чтобы после обнаружения трояна на сервере думать, что инфицирован только один файл ..<br><br><br> Как обнаружить трояна? (lazy) https://www.opennet.ru/openforum/vsluhforumID10/3856.html#2 Tue, 24 Jun 2008 20:20:44 GMT &gt;chkrootkit <br><br>он пишет:<br>Checking `date'... INFECTED<br><br>Заменяю его оригинальным файлом (/bin/date), а он на него всё равно ругается.<br>как быть?<br> Как обнаружить трояна? (Junior) https://www.opennet.ru/openforum/vsluhforumID10/3856.html#1 Tue, 24 Jun 2008 19:18:28 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;В tcpdump видно периодически (сразу около 100 таких строк подрят): <br>&gt;<br>&gt;00:53:56.177726 IP ххххххххххххх.33230 &gt; ххххххххххххххх.ms-sql-s: S 4052544520:4052544520(0) win 64240 &lt;mss 1460,nop,nop,sackOK&gt;<br>&gt;<br>&gt;netstat и sockstat ничего не показывают. <br>&gt;clamav и rootkit hunter тоже ничего ненашли. <br>&gt;<br>&gt;Подскажите хотябы в какую сторону капать???? <br>&gt;Заранее спасибо!!! <br><br>chkrootkit<br>