[Comm] Заражение червем pscan2 (Delles) ALTLinux Master - методы лечения и зашиты

[Michael Shigorin]

On Fri, Aug 15, 2008 at 11:13:24AM +0400, Nikolay A. Fetisov wrote:
> В целом:
> - проверить пароли пользователей. Особенно если сканер
> запускается от какого-то одного аккаунта. Убрать доступ по SSH
> для всех пользователей, которым он не нужен;

ps auxww | grep как_его_зовут
kill -STOP обнаруженный_pid
cd /proc/$PID/
ls -l exe cwd fd/

> - проверить содержимое файлов crontab и at на наличие закладок;

У того пользователя, от которого запущен процесс; если это root,
то требуется бэкап данных и конфигурации, установка системы с
нуля и восстановление данных (конфигурации -- не tar xf, а только
проверяя глазами).

> - если что-то доставлялось в систему не из пакетов - проверить
> отдельно и особо. Если система используется как веб-сервер -
> проверить установленные веб-приложения на наличие дыр.

На будущее рекомендуется завести привычку пользоваться OpenVZ,
даже если контейнер один.  При этом доступ к HN ограничивать 
малым списком IP.

-- 
 ---- WBR, Michael Shigorin <mike на altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/