@winter_jam
clicking

Как найти руткит на сервере, если chrootkit, rkhunter и LMD не помогают?

Всем привет!

Случилась такая напасть - на VDS сервере существует некий вредоносный код, который подсовывает в html шаблоны сайта iframe ( и прячет его в невидимую область) , на который ругается касперский. Код этот переписывает шаблон как по расписанию, в одно и то же время. Если переименовать файл шаблона, или подключать другой, то это спасает на какое-то время, но потом iframe находит себе новый, подключаемый шаблон. Такое поведение наталкивает на мысль что кто-то указывает конкретный файл для перезаписи по расписанию вручную. Значит есть руткит на сервере?

Пробовал искать используя rkhunter, chrootkit ,Linux Malware Detect, мониторить логи, отключать пользователей ssh, перенастраивать порты, отключать рут - бесполезно. Просто так взять и переставить систему нельзя. Есть ещё какие-то способы выхода из ситуации? Система Debian squeeze.
  • Вопрос задан
  • 215 просмотров
Пригласить эксперта
Ответы на вопрос 2
@vilgeforce
Раздолбай и программист
Руткита нет, раз вы видите зараженные файлы. Вот если бы они были, а их не было видно - руткит. Ручной анализ файлов и логов в помощь.
Ответ написан
Комментировать
@inkvizitor68sl
Linux-сисадмин с 8 летним стажем.
proftpd какой версии ?
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы