Fertőtlenítés - hogyan

A cím alapján gondoltam tudok segíteni, hogy mit mivel, hogyan kell hatékonyan fertőtleníteni, de meglepődtem nem erre számítottam, ebben a kérdésben sajnos nem tudok segíteni :)

Én az utolsó, érvényes mentést tölteném vissza egy tiszta, új környezetre.
Minden más több munkába kerül és az eredményessége is kérdéses.

Üdv,
Marci

cím alapján én is másra számítottam :)
valóban a legutolsó még "tiszta" mentést célszerű visszapakolni

A többségünk úgy van vele, hogy a fertőzött rendszer már nem megbízható. Az, hogy a víruskereső nem talált semmit, nem jelenti azt, hogy nincs elrejtve egy vagy több bootstrap ami idővel megint ráhúzza a gépre az aktuális vírusmotort. Ilyen esetekben el lehet szórakozni a rootkit hunterek telepítésével és a binárisok/csomagok ellenőrzésével, de ez sem garantál 100%-os biztonságot, és kb. több idő, mint újralökni a rendszert.

Persze ha valami agyonoptimalizált masina, hetvenhétcsillió alkalmazással, miegyébbel, akkor _lehet_ hogy más utat választanék magam is, de az eredeti leírásból nem az derült ki.

Igen, direkt ide írom, nem a fikatopikba.

elorebocsajtom egyetertek azokkal, aki szerint a komprommittalt rendszert ujra kene huzni, mert ize.
viszont hogy konstruktiv legyek, fejbol irtam egy rovid osszefoglalot, aztan a tobbiek majd jol megkritizaljak.

nincs harminchetcsillio registry bejegyzes, ami elindithatja a szutykot, nem remenytelen az ugy.
tehat bebootolsz recovery isorol, ha tudod mit keresel, akkor azt torlod vagy felreteszed kesobbi elemzesre.

/tmp -t, /var/tmp -t kitakaritod, szetnezel a /usr/src, /usr/local/src alatt kerult -e oda valami.
atnezed az init.d alatt a szerviz inditoscripteket, halozaton kivul kikapcsolsz minden szolgaltatast.
igen, ha van mas eleresi mod, akkor az ssh -t is.
atnezed a crontabot es a cron altal inditott egyeb scripteket.
megnezed a /etc/yum.repos.d -t, nem kerult-e oda erdekes repo.

megnezed a /root/.bashrc, /etc/bashrc, /etc/profile -t.

// tetelezzuk fel, hogy az rpm nincs megpancsolva. amugy halottnak a puszi. //
rpm --verify rpm yum

rpm --verify kernel glibc initscripts libselinux-utils bash procps psmisc binutils coreutils coreutils-libs findutils shadow-utils elfutils grep less psacct

rpm --verify openssh openssh-server openssh-clients libssh2

esetleg ha volt integritasellenorzo tripwire vagy hasonlo, akkor hadd szoljon.

reboot, full update. itt mar kezdheted kimazsizni hogyan kaptad be, mert ujra megtortenhet.
-- igen, akkor is, ha visszateszed az utolso 'tiszta' mentest. ami nem is biztos, hogy tiszta, de legalabb tuttira benne van a bug, amivel bejottek. --

johet a szolgaltatasok visszakapcsolasa. eloszor ezek elott is rpm -- verify aztan mehet. -ha nagyon paranoid vagy, akkor figyeld straceval - elsonek az ssh -t.

a) backup; reinstall; adatok vissza
b) kezd egy masik kernel-lel, ami lehetoleg grsec-es es masik gepen forditottad, single user mode, minden torol, minden telepit