[Linux-Biella] viruz :°

Marco Ermini linux@bilug.linux.it
Mon, 1 Jul 2002 11:08:53 +0200

Previous message: [Linux-Biella] =?iso-8859-1?Q?Re:_=5BLinux-Biella=5D_viruz_:=B0?=
Next message: [Linux-Biella] viruz :=?iso-8859-1?Q?=B0?=
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

On Thu, 27 Jun 2002 11:29:10 +0200, LeOS <leobuf@libero.it> wrote:

> PREMESSA: luca non ti spaventare dal nome della box... non c'entra il ns
> server :)
> 
> 
> ebbene si, pure io ke mi credevo immortale sono stato colpito...
> purtroppo non si tratta della mia box, ma di una makkina di produzione.
> e' una slack 8.0 con kernel 2.4.18

Sara' un po' difficile che si tratti di un virus, direi molto piu'
probabilmente che si tratta di un cracker che e' entrato nella tua "makkina".
Virus per Linux, ancora, non ne conosco ;-)

> stanotte mi sono dilettato a fare una cosa di questo tipo
> 
> da una box pulita ho provato a puttare via ftp i comandi puliti (si
> distinguono da quelli infettati per una differenza di dimensione di
> circa 8kb o poco piu')

Dammi retta, formatta tutto, e' meglio. Questa procedura potrebbe non servire
a nulla.

> dopo aver fatto put di alcuni comandi di base, dopo poco li ritrovavo
> infettati... benissimo, il virus e' residente in memoria... ma quale e'
> il processo? riesco a vederlo?

In ogni caso, mi pare difficile che tu possa facilmente killarlo. Quasi
sicuramente non e' visibile nella process list.

[...]
> conclusioni:
> - il virus c'e' e e' ben nascosto

Non e' un virus, e' un rootkit.

> - e' residente in memoria
> - non tocca i path ma ha una ben precisa lista di comandi da infettare
> in quanto ls me lo infetta ovunque si trovi
> - f-prot trova un non meglio identificato unknown virus
> - sono disperato...
> - non posso brasare la box...
> - non so proprio come il cliente possa aver preso il virus...

Semplicemente, non hai aggiornato la tua macchina ed un cracker ci e' entrato
;-)

> - aiutoooooooooooooooooooooooooooooooooooooooooooooooooooo

Razza tutto (tanto hai sicuramente i backup delle home ;-) ed installa una
distro che ti permetta aggiornamenti automatici, se non sei in grado o non hai
tempo di tenerla aggiornata. Oppure fallo fare ad un sistemista di professione
;-)

ciao

-- 
Marco Ermini
http://www.markoer.org - ICQ UIN 50825709 - GPG KEY 0x64ABF7C6
Never attribute to malice that which is adequately explained
by stupidity. (a sig from Slashdot postings)

Previous message: [Linux-Biella] =?iso-8859-1?Q?Re:_=5BLinux-Biella=5D_viruz_:=B0?=
Next message: [Linux-Biella] viruz :=?iso-8859-1?Q?=B0?=
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]