ebury rootkit определить что машина заражена
find / -name libkeyutils*
если будет 1.9 то вероятно это измененная библиотека
для deb дистрибутивов проверяем контрольные суммы пакетов
debsums libkeyutils1 debsums openssh-server debsums openssh-client
для rpm
rpm -Vv keyutils-libs rpm -vV openssh-server rpm -vV openssh-clients rpm -vV openssh
далее запускаем
find /lib* -name libkeyutils\* -exec strings \{\} \; | egrep 'connect|socket|inet_ntoa|gethostbyname'
если в выхлопе что-то есть, система скорее всего заражена
также зараженная система отправляет dns запросы примерно такого плана
21:44:24.506801 IP [Ebury infected system].42177 > [IP address].53: 4619+ A? 5742e5e76c1ab8c01b1defa5.[IP address]. (56)
т.е. вместо
4619+ A? [IP address]. (56)
что-то такое:
4619+ A? 5742e5e76c1ab8c01b1defa5.[IP address]. (56)
UPD!
http://forum.searchengines.ru/archive/index.php/t-805302.html
Это пока что все что нашел по этой теме, будет доп инфа буду дополнять.
Поделись с друзьями:
Опубликовано 20.01.2014 в 20:26 · Автор komivlad · Ссылка
Рубрики: ArchLinux, CentOS, Debain, Fedora, Linux Mint, Raspberry Pi, Ubuntu · Теги: ebury, rootkit, заражение, определить
Рубрики: ArchLinux, CentOS, Debain, Fedora, Linux Mint, Raspberry Pi, Ubuntu · Теги: ebury, rootkit, заражение, определить