shila1300

Сегодня обнаружили на своем компе с Linux 7.3 перловский снифер. Нашли в директории /usr/bin файл с перловским скриптом по имени"sense". Файл имеет дату 26.09.1983. Удалить или переместить его невозможно, атрибуты изменить тоже не удается. Подцепили диск к другому компу - результат тот же. Sophos обнаружил в этом файле вирус Troj/RootKit-C. Кто-нибудь подскажет, как можно удалить такой файл? Заранее спасибо.

Товарищи, помогите пожалуйста разобраться с iptables v1.2.3 Написал конфигурашку в /etc/sysconfig/iptables: ----------------------------------------------------------- # Generated by iptables-save v1.2.5 on Sun Dec 12 23:45:09 2004 *filter -P INPUT DROP -P OUTPUT DROP -P FORWARD DROP -A INPUT -i lo -j ACCEPT -A OUTPUT -o lo -j ACCEPT -A INPUT -s 192.168.101.0/255.255.255.0 -j ACCEPT -A OUTPUT -s 192.168.101.0/255.255.255.0 -j ACCEPT -N ldrop -A ldrop -m limit --limit 1/s --limit-burst 4 -p tcp -j LOG --log-level 6 --log-prefix "TCP-drop" -A ldrop -m limit --limit 1/s --limit-burst 4 -p udp -j LOG --log-level 6 --log-prefix "UDP-drop" -A ldrop -m limit --limit 1/s --limit-burst 4 -p icmp -j LOG --log-level 6 --log-prefix "ICMP-drop" -A ldrop -m limit --limit 1/s --limit-burst 4 -f -j LOG --log-level 0 --log-prefix "FRAGMENT-drop" -N local -A local -j ACCEPT -A INPUT -d 192.168.101.0/255.255.255.0 -j local -A INPUT -d 127.0.0.0/8 -j local -A INPUT -s ! 192.168.101.0/255.255.255.0 -f -j ldrop -A INPUT -p icmp -j ACCEPT -A OUTPUT -p icmp -j ACCEPT -A INPUT -p udp --sport domain -m state --state ESTABLISHED -j ACCEPT -A OUTPUT -p udp --dport domain -m state --state NEW,ESTABLISHED -j ACCEPT COMMIT # Completed on Sun Dec 12 23:45:09 2004 ----------------------------------------------------------- По команде #service iptables start iptables стартует только если закомментировать строку с "-A OUTPUT -p udp --dport domain..." Те же проблемы возникают, если вместо "udp" использовать "tcp" и вместо "domain" - "ssh" или "sftp". В чем тут дело? Старый iptables? Вроде делал, сверяясь с iptables-tutorial... Помогите, пожалуйста.

Спасибо большое, товарищи! Помогло! Этим процессом, который пускал многочисленные try (и, как оказалось, не только их) был процесс с простым названием do. У меня по этому поводу еще вопрос. Вот я сейчас перегрузил машину, поменял все пароли, но ведь этого, по-видимому, недостаточно. Что посоветуете делать дальше для защиты?

Товарищи, помогите кто может, пожалуйста! У меня на компьютере (Red Hat 7.2) вдруг возникла проблема. Когда я понял, что компьютер чем-то пригружен и глянул top, то обнаружил следующие странности: 1. Уже порядка суток у меня болтаются 2 процесса john, запущенные из под моего логина (!!!) Излишне говорить, что ничего подобного я не запускал. 2. Кроме того, болтается масса (десятки) процессов try. Процессы john я убил, а когда начал убивать один за другим эти try, то увидел, что появляются все новые. Кто знает, что это такое? Вирус? В августе я уже обнаруживал вирусы Sophosом и полечил компьютер, но сейчас после сканирования этот Sophos (со свежими базами) ничего не нашел. Что же это такое? Заранее спасибо.