Skocz do zawartości
kamix

[F14] Ftp Wirus/Trojan I Filezilla

Rekomendowane odpowiedzi

Witajcie,

 

Mam następujący problem. Na moim komputerze, na którym zainstalowana jest Fedora 14 musi znajdowac sie jakis wirus lub trojan. Jego dzialanie polega na tym, ze laczy sie z FTP (ktore mam zapisane w FileZilli) i do plików na serwerach dodaje zlosliwy kod. Ten zlosliwy kod jest doklejany do plików html, php oraz js.

 

Poradzcie co mam zrobic, aby zabezpieczyc sie przed takim atakiem lub byc pewnym, ze takowe zlosliwe oprogramowanie nie funkcjonuje na moim komputerze.

 

Pozdrawiam

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach

Zabezpieczenia - nie wiem (poza ogólną czujnością systemową :))

Sprawdzenie: chkrootkit, rkhunter. Uwaga: ten ostatni wymaga - niestety - zbudowania bazy do porównań na pewnym, nieskompromitowanym systemie. No i o ile dobrze zrozumiałem notatki w sieci, to generuje nieuzasadnione ostrzeżenie o Lite5-r Rootkit.

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach

A czy w związku z tym komputer łączy się z niewiadomymi hostami ?

W tym celu użyj narzędzi

netstat

nethogs

bardziej może interaktywny

tcptrack

 

Aktywne połączenie poznasz po wpisie

tcp 0 0 172.16.0.10:679 172.16.0.51:1061 ESTABLISHED

 

Czy masz może uruchomione SSH ?

Sprawdź kto jest w systemie

 

who

 

who

tkserwis tty1 2011-05-26 12:11 (:0)

tkserwis pts/0 2011-05-26 12:12 (:0)

tkserwis pts/1 2011-05-26 12:12 (:0)

tkserwis pts/2 2011-05-26 12:12 (:0)

tkserwis pts/3 2011-05-26 12:13 (:0)

tkserwis pts/4 2011-05-26 13:13 (172.16.0.51)

tkserwis pts/5 2011-05-26 14:31 (:0)

tkserwis pts/6 2011-05-26 14:31 (:pts/5:S.0)

 

jak widać ktoś logował się do mojej maszyny z adresu 172.16.0.51

ale wiem kto ;-)

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach

Wczoraj znowu mialem atak, zostal dopisany smieciowy kod do plików index.php.

Sprawdzilem logi dostepu FTP na serwerze i polaczenia byly ewidentnie z mojego IP.

 

Poniewaz z tego co widze, odbywa sie to o losowych godzinach podpowiedzcie mi jak moge monitorowac system zeby przylapac trojana/wirusa na goracym uczynku.

 

netstat mi chyba tutaj nie pomoze... bo musialbym sie patrzec w niego 24h.

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach

www.forticlient.com zainstaluj tego antyvirusa świetnie działa  w fedora i ma dobrą wykrywalność.

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

×