作者 主題: chkrootkit -q 發現問題了  (閱讀 6935 次)

0 會員 與 1 訪客 正在閱讀本文。

usa

  • 憂鬱的高中生
  • ***
  • 文章數: 111
    • 檢視個人資料
    • http://www.ipnt.org
chkrootkit -q 發現問題了
« 於: 2004-05-03 22:23 »
真糟, 使用 chkrootkit -q, 真的發現問題了, 怎麼辦呢?
代碼: [選擇]
Checking `date'... INFECTED
rl0 is PROMISC

elleryq

  • 鑽研的研究生
  • *****
  • 文章數: 908
  • 性別: 男
    • 檢視個人資料
    • Thinking more...
chkrootkit -q 發現問題了
« 回覆 #1 於: 2004-05-04 17:19 »
進 single mode
把 date 殺掉~~
然後趕快作 patch~
Plan your work, then work your plan.
我的首頁:http://blog.elleryq.idv.tw
351899by http://counter.li.org

wilson

  • 俺是博士!
  • *****
  • 文章數: 1821
  • 帥氣柴老大
    • 檢視個人資料
Re: chkrootkit -q 發現問題了
« 回覆 #2 於: 2004-05-04 17:48 »
引述: "usa"
真糟, 使用 chkrootkit -q, 真的發現問題了, 怎麼辦呢?
代碼: [選擇]
Checking `date'... INFECTED
rl0 is PROMISC



應該是有被裝了sniffer~~檢查一下吧~ 

usa

  • 憂鬱的高中生
  • ***
  • 文章數: 111
    • 檢視個人資料
    • http://www.ipnt.org
chkrootkit -q 發現問題了
« 回覆 #3 於: 2004-05-04 18:49 »
請問要怎樣把date殺掉, 然後作patch呢?
還有, 這是受到什麼樣的攻擊或入侵啊, 怎麼辦呢??
 :-?  :(

elleryq

  • 鑽研的研究生
  • *****
  • 文章數: 908
  • 性別: 男
    • 檢視個人資料
    • Thinking more...
chkrootkit -q 發現問題了
« 回覆 #4 於: 2004-05-05 14:08 »
1. rm -f date
2. 上 patch 就是利用 up2date 或 apt-get 或 yum 去更新~或是上專門的安全發佈網站去搜尋相關的資訊進行修補~~
3. 不清楚~
Plan your work, then work your plan.
我的首頁:http://blog.elleryq.idv.tw
351899by http://counter.li.org

wilson

  • 俺是博士!
  • *****
  • 文章數: 1821
  • 帥氣柴老大
    • 檢視個人資料
chkrootkit -q 發現問題了
« 回覆 #5 於: 2004-05-05 14:17 »
如果不能確定清除所有被置換掉的檔案

那就建議重裝了~~

像這次你只發現date~~就有點奇怪了~~find,ps,top,netstat,ls等相關的指令
應該都會被換掉(如果attacker想要藏好自己的行蹤的話)

又或者attacker做的不是置換掉你的指令罷了
他已經動了你的kernel~~
直接在kernel上做手腳~~就不用換你的指令了~

usa

  • 憂鬱的高中生
  • ***
  • 文章數: 111
    • 檢視個人資料
    • http://www.ipnt.org
chkrootkit -q 發現問題了
« 回覆 #6 於: 2004-05-11 09:28 »
經過測試在安裝 5.2 及 5.2.1 時剛裝好就會發現 INFECTED 這樣的情形, 而安裝 5.1 卻不會出現 INFECTED , 這是不是 5.2 及 5.2.1 版的一個 bug 呢?
???

wilson

  • 俺是博士!
  • *****
  • 文章數: 1821
  • 帥氣柴老大
    • 檢視個人資料
chkrootkit -q 發現問題了
« 回覆 #7 於: 2004-05-11 12:16 »
有可能~~

之前也有遇過chkrootkit的某些版本對某些東西的檢測是有問題的
(你可以在chkrootkit的version log裡找到相關資訊)

另外~~
引用
rl0 is PROMISC

還在嗎?