[ruslandh]

1. Речь не о вирусе написанном для Windows, а о вирусе, использующем особенности Wine
2 Да будет вам известно первый rootkit был и написанн для *nix систем, это даже в его названии есть и при желании можно найти открытый код этой программы. Не путайте вирусы и rootkit. rootkit - не обязан размножаться (он в классическом виде и не размножается), он может себя не как не проявлять, основная его функция - дать возможность удалённому пользователю скрытый доступ на ваш компьютер с правами root . Это один из основных инструментов хакеров при взломе серверов под *nix. Антивирусы не ловят (unix) rootkit, так-как он работает в пространстве ядра, как подгружаемый модуль ядра, а антивирусы работают в пространстве пользователя.

[fossil]

Цитата ruslandh:

Антивирусы не ловят (unix) rootkit, так-как он работает в пространстве ядра, как подгружаемый модуль ядра »

Вот поэтому я всегда отключаю модули на серверах А также hardened сборка ядра - супер.

[Gennie]

Мда... Ребят, спасибо за интересное обсуждение, а всё же кто-то может предположить последствия для системы и способы профилактики, что я и хотел выяснить? Т.е. чем бы и как мне свою систему проверить, не сидит ли там чего, и может ли быть система скомпрометирована (опять же, как это определить)? Вот те же модули, о которых вы говорили, -- если руткит способен подгружаться в виде модулей, то как мне его опознать и выкусить без разрушающих последствий?
У меня ничего не пропало, все настройки, вроде, на месте, всё пашет как обычно, инфу никакую не потерял... но не хочу просто беспечно забыть об этом случае, ибо зело не понравилось мне то, что произошло.

Ещё вопрос пришёл в голову, к бывалым юниксоидам: люди, а возможно, чтобы система Дебиан *сама* в случае каких-то определённых сбоев передоверяла владельца/группу с буквенного юзернейма на UID или что-то в этом роде? (типа 1000 должен быть как раз UID первого юзера в системе) -- выглядит бредово, хотя фиг её знает, не знаю, что подозревать.

[ruslandh]

Вот интересная статья по этому поводу
Невидимость В *Nix / Обзор Stealth-механизмов Бэкдоров

[Gennie]

Руслан, спасибо за инфу.
Ну вот, та же фигня случилась при похожих обстоятельствах: жена теперь работала в Мандриве 2007 вчера вечером, тоже просматривала картинки, сохранённые на фат32 -- мигание по всему монитору и отключение мыши с клавой -- перезагруз -- и вот оно, снова слетели владельцы, на этот раз они выглядят так: user:group 500:500 и 501:501. Да что за напасть меня посещает?!!! Восстановил всех законных владельцев, на этот раз из Дебиана, но по-прежнему не понимаю, что происходит.

Помогите кто-нибудь определить, что за ... у меня переназначает владельцев в домашней директории, плиииз!!! Не знаю, какой гадости и с какой стороны ждать на очереди.

Прогнал, кстати, в восстановленном Дебиане rkhunter -- кроме десятка Warning'ов, ничего серьёзного не было обнаружено, руткитов и троянов он не нашёл. Насколько я понял, он должен по идее гнаться по вообще всей системе, включая примонтированные разделы. Примонтировал два раздела Мандривы, / и /home соответственно. В общем, #rkhunter -c ничего совсем плохого не обнаружил. Могу выложить вечером /var/log/rkhunter.log, если нужно.
Антивирусником пока воспользоваться не успел. Унываю! 8`-(

[ruslandh]

Может бажный скрипт какой-то ?
Я-бы для начала проверил сначала с помощью
rpm -v установленные пакеты.

[Gennie]

Ну вот, к счастью или к сожалению, даже не уверен, появились новые подробности.
Ставлю нулёвую новую машину другу, на неё Дебиан Ленни (тестируемый). Вчера вечером сидел в этом Дебиане и сами по себе слетели Х-ы, т.е. зависли, перекорёжилась вся графика, клава и мыш не работали никак. Причём сбоя по питанию не было вообще (горел свет, монитор не мигнул, только перекорёжилось всё изображение, а у компа корпус 400Вт). Ресет. Помня о всякой фигне в /tmp, идутуда и обнаруживаю появление и изменение каких-то непонятных файлов от имени юзера leonid (это я так юзера назвал), и от имени рута. Из того, что там возникало, я предположительно сделал вывод о том, что на меня зашли по SSH.
Что там было сомнительного? Были длинные файлы в дире /tmp/orbit-leonid вида linc-b4a-0-... и linc-b66-0-... -- порывшись в нете, нашёл, что это файлы компонентов CORBA. Ладно, может быть. Была создана такая конструкция: /tmp/gconfd-leonid/lock/ior с правами -rwx------ для root:root. Вроде оно должно иметь отношение к GTK, точно не могу сказать. Не понял, зачем оно нужно, в гугле какая-то отрывочная информация. Совсем напрягло наличие /tmp/agent.2780 с владельцами leonid:leonid. Ну, и прямо на моих глазах создание и переделка каких-то файлов с упоминанием ssh, каких-то сервисов и ещё чего-то. Убил под рутом всё подозрительное. Причём, когда убил пару элементов из /tmp, через минуту зашёл туда же рутом, и увидел, что эти же самые элементы появились, на этот раз симлинками на файлы, нарисовавшиеся теперь в /var/tmp, что тоже не порадовало. Может быть, я и выглядел котёнком, гоняющимся за собственным хвостом, но я хочу чётко понимать, что происходит на моей машине, особенно после таких весьма неприятных сбоев!
На линуксфоруме предложили посмотреть /etc/passwd на наличие подозрительных записей. Вот, что мне там показалось непонятным и я их удалил:
www-data:x:33:33:www-data:/var/www:bin/sh
festival:x:104:29::/home/festival:/bin/false
saned:x:106:112::/home/saned:/bin/false

Последнее очень напоминает что-то от сканерной системы SANE, но нуждается в подтверждении.
Команда netstat показала подключения, среди которых в том числе были и с такими именами: /kla, /klaun и /i. Не нашёл таких в гугле.
Пожалуйста, посмотрите мой /var/log/auth.log, там записано, что происходило, но я не понимаю, как это интерпретировать и насколько безопасно то, что там создавалось (насколько я понял, именно в то время, когда я заходил в консоли под рутом через su, запуская mc. Мне непонятно, почему в одной попытке входа в систему там написано, что ruser=leonid и при этом его uid=0. Хочу вообще запрета всем ремоут юзерам коннектиться к моим машинам по-любому. Как это реализовать?
Нашёл в сети про запрет хостам ALL: ALL в файле /etc/hosts.deny. Вписал, наряду с раскомментированием ALL: PARANOID.

Насколько правильно всё, что я сделал в свете защиты от удалённых соединений и что ещё надо сделать, чтобы навсегда их заблокировать?

[Gennie]

Что-то так и не понял, где все могут увидеть вложенный лог, я его сам почему-то вижу только если редактирую сообщение... Выкладываю ещё и ссылкой, вот сюда.