作者主題: chkrootkit -q 發現問題了 (閱讀 7016 次)

usa · « 於: 2004-05-03 22:23 »

真糟, 使用 chkrootkit -q, 真的發現問題了, 怎麼辦呢?

Checking `date'... INFECTED
rl0 is PROMISC

elleryq · « **回覆 #1 於:** 2004-05-04 17:19 »

進 single mode
把 date 殺掉~~
然後趕快作 patch~

wilson · « **回覆 #2 於:** 2004-05-04 17:48 »

引述: "usa"

真糟, 使用 chkrootkit -q, 真的發現問題了, 怎麼辦呢?
代碼: [選擇]
Checking `date'... INFECTED rl0 is PROMISC

應該是有被裝了sniffer～～檢查一下吧～　

usa · « **回覆 #3 於:** 2004-05-04 18:49 »

請問要怎樣把date殺掉, 然後作patch呢?
還有, 這是受到什麼樣的攻擊或入侵啊, 怎麼辦呢??
:-?

elleryq · « **回覆 #4 於:** 2004-05-05 14:08 »

1. rm -f date
2. 上 patch 就是利用 up2date 或 apt-get 或 yum 去更新~或是上專門的安全發佈網站去搜尋相關的資訊進行修補~~
3. 不清楚~

wilson · « **回覆 #5 於:** 2004-05-05 14:17 »

如果不能確定清除所有被置換掉的檔案

那就建議重裝了~~

像這次你只發現date～～就有點奇怪了～～find,ps,top,netstat,ls等相關的指令
應該都會被換掉（如果attacker想要藏好自己的行蹤的話）

又或者attacker做的不是置換掉你的指令罷了
他已經動了你的kernel～～
直接在kernel上做手腳～～就不用換你的指令了～

usa · « **回覆 #6 於:** 2004-05-11 09:28 »

經過測試在安裝 5.2 及 5.2.1 時剛裝好就會發現 INFECTED 這樣的情形, 而安裝 5.1 卻不會出現 INFECTED , 這是不是 5.2 及 5.2.1 版的一個 bug 呢?

wilson · « **回覆 #7 於:** 2004-05-11 12:16 »

有可能～～

之前也有遇過chkrootkit的某些版本對某些東西的檢測是有問題的
（你可以在chkrootkit的version log裡找到相關資訊）

另外～～

引用

rl0 is PROMISC

還在嗎？

酷!學園

最新消息: