1. Главная
  2. /
  3. Linux
  4. /
  5. ArchLinux
  6. /
  7. Бекдор Linux/Cdorked.A определение заражения сервера

Бекдор Linux/Cdorked.A определение заражения сервера

crocked
Для определения заражения рекомендуют скачать и собрать dump_cdorked_config для дампов памяти данного бекдора


wget http://www.welivesecurity.com/wp-content/uploads/2013/04/dump_cdorked_config.c
gcc dump_cdorked_config.c -o dump_cdorked_config
chmod +x dump_cdorked_config
./dump_cdorked_config

если


No shared memory matching Cdorked signature was found.
To further verify your server, run "ipcs -m -p" and look for a memory segments created by your http server.

то все «ОК»
Почему в кавычках?
Да потому что нифига не ок, подтверждение тому
https://code.google.com/p/malware-lu/wiki/en_malware_cdorked_A


After its termination, the malware will send a 302 to the client, and serve google.com. This action will appear in Apache's logs.

т.е., при использовании ссылки вида
http://site.ru/favicon.iso
у Вас идет редирект на google, то примите мои поздравления, у Вас проблемка.
Лечится довольно-таки просто, переустановкой компонентов веб сервера.
Вдобавок, надо удалить сегменты памяти касающиеся apache


ipcs -m
------ Сегменты совм. исп. памяти --------
ключ   shmid      владелец права байты nattch     состояние
0x0000014c 0          root       600        384        20
0x00000000 9404417    root       600        524288     9          назначение
0x0000121f 6750210    root       600        463504     0
0x00004058 8323075    apache     600        6161712    0   

удаляем


ipcrm -m 8323075

«Бэкдор не имеет механизмов самораспространения и не использует уязвимость в ПО на сервере для своей установки.»

Очень интересное чтиво на эту тему
http://www.welivesecurity.com/wp-content/uploads/2014/03/operation_windigo.pdf

Поделиться ссылкой на статью

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Заполните поле
Заполните поле
Пожалуйста, введите корректный адрес email.
Вы должны согласиться с условиями для продолжения

Категории

Меню