Virus
Pavol Zibrita
zibrita na kopernik.cc.fmph.uniba.sk
Čtvrtek Únor 28 18:28:47 CET 2002
Ahoj
Nedavno som odstranoval z rh7.1 virus. Neviem co to bol za virus a ani
ci bol vedeni po nom aj rucny utok. Kazdopadne som nasiel toto:
v /etc/sysconfig/.../.d/
bol irc client eggdrop, ktory sa stale spustal
nasiel som preloadnutu cron tabulku, ktora mala na starosti
zistovanie, ci eggdrop bezi.
scripty, ktore eggdrop pouzival boli nejak kodovane.
(vsetko mam v zalohe, aj napadnutu binarku, kto ma zaujem, mozem
poslat)
v /usr/bin/.../
bol subor ze clean, ktory mal za ulohy vycistit logy a kto vie co
vsetko.
Virus po natiahnuti do pamate infikoval niektore binarky aj bez
spustenia ako netstat,ps,ls, niektore az ked sa spustili. Neviem ci
infikoval kniznice. mal priblizne 9kb.
Nainfikovany subor po spusteni sa forkol a jedna cast zostala visiet na
upd porte 3049.
Utok, podla logov (neboli vycistene uplne) prisiel zjavne cez ftp
(ktore som zial nemal patchnute..) z adresy 209.151.239.224,
odkial sa virus asi
mohol dostat, pripadne to mohla byt praca niekoho.
Nestretli ste sa s nim? Neviem ci to bol adore, lebo masinu mam relativne
cistu, moze byt skryty este v nejakej binarke. povacsine som pouzival rpm
--verify.
ine antiviraky nepisu nic, akurat f-prot napisal, ze moznost infikovania
(heuristika).
P.Zibrita
PS: som novy v tomto liste. Utok sa stal briblizne 12-15 februara.
Další informace o konferenci Linux