January 22, 2009
Solaris trojan
Сегодня обнаружил трояна в недавно поставленной солярке (!). Причем, rootkithunter его не обнаруживает. попал при инсталляции через telnetd (-f...), маскировался под lpsched (WANUK.A). Этого-то нашел, но хбз, что там еще залезло через ту дырку.
Там дело в том, что солярку ставили со старого дистриба (11/06), а потом обновлениями добивали до последнего стабильного. telnetd админ отрубил почти сразу, но эта вот дрянь успела пролезть. В общем, с админом сегодня переставили систему с форматированием винта. Кстати, Sun очень рулит со своими консолями, когда можно даже в BIOS удаленно заходить (!), чтобы например выбирать бутовое устройство - там в CD засунут дистриб солярки как-раз, с которого и ставили. Короче, как-будто тачка не на хостинге, а рядом :)
В общем, товарищи, проверяйте свои системы тщательнее! Желательно снимать снимки md5 всех файликов в /etc и хотя бы основных бинарных утилиток (/bin, /usr/bin, /usr/sbin и так далее. См ранний пост про IDS).
Там дело в том, что солярку ставили со старого дистриба (11/06), а потом обновлениями добивали до последнего стабильного. telnetd админ отрубил почти сразу, но эта вот дрянь успела пролезть. В общем, с админом сегодня переставили систему с форматированием винта. Кстати, Sun очень рулит со своими консолями, когда можно даже в BIOS удаленно заходить (!), чтобы например выбирать бутовое устройство - там в CD засунут дистриб солярки как-раз, с которого и ставили. Короче, как-будто тачка не на хостинге, а рядом :)
В общем, товарищи, проверяйте свои системы тщательнее! Желательно снимать снимки md5 всех файликов в /etc и хотя бы основных бинарных утилиток (/bin, /usr/bin, /usr/sbin и так далее. См ранний пост про IDS).
Labels: intrusion, security, solaris, telnet, telnetd, trojan, virus
