1. Главная
  2. /
  3. Linux
  4. /
  5. ArchLinux
  6. /
  7. ebury rootkit определить что машина заражена

ebury rootkit определить что машина заражена

rootkit


find / -name libkeyutils*

если будет 1.9 то вероятно это измененная библиотека
для deb дистрибутивов проверяем контрольные суммы пакетов


debsums libkeyutils1
debsums openssh-server
debsums openssh-client

для rpm


rpm -Vv keyutils-libs
rpm -vV openssh-server
rpm -vV openssh-clients
rpm -vV openssh

далее запускаем


find /lib* -name libkeyutils* -exec strings {} ; | egrep 'connect|socket|inet_ntoa|gethostbyname'

если в выхлопе что-то есть, система скорее всего заражена
также зараженная система отправляет dns запросы примерно такого плана


21:44:24.506801 IP [Ebury infected system].42177 > [IP address].53:
                4619+ A? 5742e5e76c1ab8c01b1defa5.[IP address]. (56)

т.е. вместо


4619+ A? [IP address]. (56)

что-то такое:


4619+ A? 5742e5e76c1ab8c01b1defa5.[IP address]. (56)

UPD!
http://forum.searchengines.ru/archive/index.php/t-805302.html
Это пока что все что нашел по этой теме, будет доп инфа буду дополнять.

Добавить комментарий

Ваш адрес email не будет опубликован.

Заполните поле
Заполните поле
Пожалуйста, введите корректный адрес email.
Вы должны согласиться с условиями для продолжения

Категории

Партнерские скидки

Меню