BINDSHELL INFECTED

[quote:f92ce22d12="smucilu"]Sziasztok

Most futattam le a chkrootkit-et es a kimenetben ez volt:
BINDSHELL INFECTED (ports:1524 31337)
Valaki tudna adni tippet, hogy hogyan tudnek megszabadulni tole?

Elore is koszonom.

Szerintem elso korben nezd meg, hogy valoban fertozott vagy-e, vagy vaklarma..

Ha igen, a legegyszerubb az, hogy backupolod a fontos adatokat, es reinstall. Aztan atnezes backupot, hogy minden korrekt-e, es az ellenorzott stuffokat az ember visszamasolja.

netstat -lpe | grep <port>

Itt megkeresed a bindshell pid-jét, majd

kill <pid>

A reinstall így is ajánlott, ha nyílvános szolgáltatást nyújtasz, akkor
pedig ajánlom keresd meg min keresztül juttatták be (pl.: phpbb fórum)
ha lehet keress helyette alternatívát....

Grsec bekapcsolása, és a /tmp nosuid,noexec mountolása valamennyivel
csökkenti a veszélyt...

Hello!

Igyvan, grsec es /tmp noexec, nosuid. Nézz utána nem vaklárma e és hogy mik azok a portok. Ilyen bindshell gond nalam is volt amugy, a postfix ssmtp szolgaltatasa miatt anyazott. De erdemes keresgelni, mert van azert vaklarma is nem is keves.

Udv.

[quote:c687e50b1d="smucilu"][quote:c687e50b1d="algernon"]

Szerintem elso korben nezd meg, hogy valoban fertozott vagy-e, vagy vaklarma..

Ha igen, a legegyszerubb az, hogy backupolod a fontos adatokat, es reinstall. Aztan atnezes backupot, hogy minden korrekt-e, es az ellenorzott stuffokat az ember visszamasolja.

.

Es hogyan tudom ellenorizni, hogy tenyleg fertozott vagyok?

Pl megnezed mi fut azon a porton (fuser -v -n tcp <port szama>), esetleg lehet, hogy remlik hogy tetettel fel oda valamit, pl portsentry-t, es az csaphatja be a chkrootkitet...

Hello!

Nem birtam ki, hogy ne probaljam ki ezt a dolgot es chkrootkit ssmtp -re mindenkeppen riaszt, egy teljesen uj postfix telepitesre, ha belovom ssmtp szolgaltatast rogton kiirja h. bindshell INFECTED (PORTS: 465).

Ha valaki ebbe belefut akkor fake risztasrol van szo.

Udv.

Sztem felejtsuk el a chkrootkitet :) www.rkhunter.org :)