############################################################ lsof -ni COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME amavisd-n 2034 amavis 5u IPv4 5768 TCP 127.0.0.1:10024 (LISTEN) mysqld 2096 mysql 13u IPv4 5852 TCP 127.0.0.1:mysql (LISTEN) postgrey 2153 postgrey 5u IPv4 5986 TCP 127.0.0.1:60000 (LISTEN) couriertc 2352 root 3u IPv6 6366 TCP *:imap2 (LISTEN) couriertc 2364 root 3u IPv6 6385 TCP *:imaps (LISTEN) couriertc 2369 root 5u IPv6 6401 TCP *:pop3 (LISTEN) couriertc 2383 root 3u IPv6 6421 TCP *:pop3s (LISTEN) master 2451 root 11u IPv4 6597 TCP *:smtp (LISTEN) master 2451 root 17u IPv4 6613 TCP 127.0.0.1:10025 (LISTEN) sshd 2486 root 3u IPv6 6775 TCP *:ssh (LISTEN) proftpd 2547 proftpd 1u IPv6 6870 TCP *:ftp (LISTEN) apache2 2569 root 4u IPv6 6912 TCP *:www (LISTEN) 3 2613 root 3u IPv4 7090 TCP *:6969 (LISTEN) apache2 3874 www-data 4u IPv6 6912 TCP *:www (LISTEN) amavisd-n 3903 amavis 5u IPv4 5768 TCP 127.0.0.1:10024 (LISTEN) amavisd-n 3931 amavis 5u IPv4 5768 TCP 127.0.0.1:10024 (LISTEN) apache2 3969 www-data 4u IPv6 6912 TCP *:www (LISTEN) smtpd 17811 postfix 6u IPv4 6597 TCP *:smtp (LISTEN) ############################################################ ############################################################ lsof -p 2613 COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME 3 2613 root cwd DIR 3,1 4096 2 / 3 2613 root rtd DIR 3,1 4096 2 / 3 2613 root txt REG 3,1 652620 3870961 /tmp/sh-DS1OXTAACRK (deleted) 3 2613 root mem REG 0,0 0 [heap] (stat: No such file or directory) 3 2613 root mem REG 3,1 1241392 6373382 /lib/tls/i686/cmov/libc-2.3.6.so 3 2613 root mem REG 3,1 9656 6373401 /lib/tls/i686/cmov/libutil-2.3.6.so 3 2613 root mem REG 3,1 21868 6373384 /lib/tls/i686/cmov/libcrypt-2.3.6.so 3 2613 root mem REG 3,1 76548 6373388 /lib/tls/i686/cmov/libnsl-2.3.6.so 3 2613 root mem REG 3,1 88164 6356994 /lib/ld-2.3.6.so 3 2613 root 0u CHR 1,3 790 /dev/null 3 2613 root 1u CHR 1,3 790 /dev/null 3 2613 root 2u CHR 1,3 790 /dev/null 3 2613 root 3u IPv4 7090 TCP *:6969 (LISTEN) ############################################################ ############################################################ Po reboot'o pasikelia iptables "rulsai", kurie neturetu paskelti iptables-save # Generated by iptables-save v1.3.6 on Fri Nov 20 09:17:10 2009 *filter :INPUT ACCEPT [137456:91136735] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [473095:177141687] -A INPUT -p tcp -m tcp --dport 6969 -j ACCEPT -A INPUT -p tcp -m tcp --dport 6969 -j ACCEPT COMMIT # Completed on Fri Nov 20 09:17:10 2009 ############################################################ ############################################################ Clamav'as stai ka aptinka: /sbin/ttymon: Trojan.Linux.Rootkit.A FOUND /usr/lib/libsh/shsb: Linux.LionCleaner FOUND /usr/bin/pstree: Trojan.Rootkit-118 FOUND ############################################################ ############################################################ rkhunter --checkall Rootkit 'SHV4'... [ Warning! ] -------------------------------------------------------------------------------- Found parts of this rootkit/trojan by checking the default files and directories Please inspect the available files, by running this check with the parameter --createlogfile and check the log file (current file: /dev/null). -------------------------------------------------------------------------------- [Press <ENTER> to continue] Rootkit 'SHV5'... [ Warning! ] -------------------------------------------------------------------------------- Found parts of this rootkit/trojan by checking the default files and directories Please inspect the available files, by running this check with the parameter --createlogfile and check the log file (current file: /dev/null). -------------------------------------------------------------------------------- Scanned files: 342 Possible infected files: 2 Possible rootkits: SHV4 SHV5 ############################################################ "Tadas Kvedaras" <t.kvedaras.nospam@nospam.white-hat.no_spam.eu> wrote in message news:he5dii$3ps$1@trimpas.omnitel.net... > Viskas yra galima. Čia iš windozės atėjo tas blogas įprotis reinstall > windows, jei kas nebeveikia. > > Analizuoji sistemą (per logus) ir ieškai priežasties, atradęs priežastį - > ją pašalini. Analizę matau pradėjai, bet rezultatų nedaug - būna ir taip. > > Iš viso aukščiau spamo - matau, kad serveryje laikai svarbius duomenis > (įmonės www irgi galim laikyti svarbiais duomenimis), o nedarai backup ir > neturi sistemos aprašymo (antraip baimės, kad perinstaliavus sistemą, > kažkas neveiks - nebūtų). Turi progą pasitaisyti. > > Man pavojingai skamba tavo frazė "Kiek supratau is linuxisto, imete > skripta per www kazkoki, tas skriptas > susijes su kazkokiu portu.". Jei tai tavo administruojamas serveris - tai > turėtum žinoti kas ką įdeda ir kas ką daro. > > > Dabar dėl tavo problemos: > Panašu į tinklo kortą - žiūrėk dar kartą logus. Paprastai logai "kaukia" > (syslog, messages). > Rootkitai? Įsilaužėliai? - Nesamonė (čia greičiau kita problema, nei tavo > minima). Neatmesčiau tik DOS atakos. > > Esmė: užfiksuok laiką, kada lužo (aš čia taip ir nesupratau, lužimas > perkrauna (priverstinai) tavo sistemą ar ne). Eik per logus ir žiūrėk kas > vyko per pastarasias 10 min (iki lužimo). Kai randi, bandai sutvarkyti > arba jei nesupranti log'ų postink čia - kolegos gal padės (jei esminę info > nuspostinsi). > > Sėkmės > > -- > Tadas K. > > > "oxygen" <neturiu@mailo.px> wrote in message > news:he48k3$9l6$1@trimpas.omnitel.net... >> kaip manot, galima sutvarkyti esama sistema be pilno perrasymo? >> >> "ejs" <ejs@no.where> wrote in message >> news:he487d$8t2$1@trimpas.omnitel.net... >>> krx rase: >>> >>>> O tai nafik laikyti viena serveri? Butu prabanga :-) >>> >>> Samba. >>> >>> -- >>> ejs >> >> > >