1. Главная
  2. /
  3. Linux
  4. /
  5. ArchLinux
  6. /
  7. ebury rootkit определить что машина заражена

ebury rootkit определить что машина заражена

rootkit


find / -name libkeyutils*

если будет 1.9 то вероятно это измененная библиотека
для deb дистрибутивов проверяем контрольные суммы пакетов


debsums libkeyutils1
debsums openssh-server
debsums openssh-client

для rpm


rpm -Vv keyutils-libs
rpm -vV openssh-server
rpm -vV openssh-clients
rpm -vV openssh

далее запускаем


find /lib* -name libkeyutils* -exec strings {} ; | egrep 'connect|socket|inet_ntoa|gethostbyname'

если в выхлопе что-то есть, система скорее всего заражена
также зараженная система отправляет dns запросы примерно такого плана


21:44:24.506801 IP [Ebury infected system].42177 > [IP address].53:
4619+ A? 5742e5e76c1ab8c01b1defa5.[IP address]. (56)

т.е. вместо


4619+ A? [IP address]. (56)

что-то такое:


4619+ A? 5742e5e76c1ab8c01b1defa5.[IP address]. (56)

UPD!
http://forum.searchengines.ru/archive/index.php/t-805302.html
Это пока что все что нашел по этой теме, будет доп инфа буду дополнять.

Поделиться ссылкой на статью

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Заполните поле
Заполните поле
Пожалуйста, введите корректный адрес email.
Вы должны согласиться с условиями для продолжения

Категории

Меню