Бекдор Linux/Cdorked.A определение заражения сервера
Для определения заражения рекомендуют скачать и собрать dump_cdorked_config для дампов памяти данного бекдора
wget http://www.welivesecurity.com/wp-content/uploads/2013/04/dump_cdorked_config.c gcc dump_cdorked_config.c -o dump_cdorked_config chmod +x dump_cdorked_config ./dump_cdorked_config
если
No shared memory matching Cdorked signature was found. To further verify your server, run "ipcs -m -p" and look for a memory segments created by your http server.
то все «ОК»
Почему в кавычках?
Да потому что нифига не ок, подтверждение тому
After its termination, the malware will send a 302 to the client, and serve google.com. This action will appear in Apache's logs.
т.е., при использовании ссылки вида
http://site.ru/favicon.iso
у Вас идет редирект на google, то примите мои поздравления, у Вас проблемка.
Лечится довольно-таки просто, переустановкой компонентов веб сервера.
Вдобавок, надо удалить сегменты памяти касающиеся apache
ipcs -m ------ Сегменты совм. исп. памяти -------- ключ shmid владелец права байты nattch состояние 0x0000014c 0 root 600 384 20 0x00000000 9404417 root 600 524288 9 назначение 0x0000121f 6750210 root 600 463504 0 0x00004058 8323075 apache 600 6161712 0
удаляем
ipcrm -m 8323075
«Бэкдор не имеет механизмов самораспространения и не использует уязвимость в ПО на сервере для своей установки.»
Очень интересное чтиво на эту тему
Поделись с друзьями:
Опубликовано 21.05.2014 в 09:55 · Автор komivlad · Ссылка
Рубрики: ArchLinux, CentOS, Debain, Fedora, FreeBSD, Linux Mint, Raspberry Pi, Ubuntu · Теги: 302, dump_cdorked_config, favicon.iso, google, ipcs, Linux/Cdorked.A, server, бекдор, заражен, заражения, определение, переустановка
Рубрики: ArchLinux, CentOS, Debain, Fedora, FreeBSD, Linux Mint, Raspberry Pi, Ubuntu · Теги: 302, dump_cdorked_config, favicon.iso, google, ipcs, Linux/Cdorked.A, server, бекдор, заражен, заражения, определение, переустановка
ваше мнение
Загрузка ...