ПОМОГИТЕ УБИВАЮТ!!!!!!

[MoHaX]

Такая проблема: Стоит себе сервак (RedHat 7.3), на нём apache 1.3.22, mysql крутится и ещё он как роутер и smtp сервер (postfix). В один прекрасный день он перестают нормально работать... Захожу локально под рутом, при логине он мне какую-то жопу написал но вошёл... Пытаюсь чего-нить типа ps ax выполнить он говорит, что нет такого файла в /bin/ps, захожу в /bin, а он там есть... При чём ещё надпись написал: "Segmentation fault"... И так почти на все системные команды... Смотрю логи, нахожу там загадочною надпись, что типа в 20:54 был создан группа и юзер coadmin и после этого сразу жопа пошла. Про вход в систему не слова... Рядом с севаком в это время физически никого быть не могло, ssh с наружи закрыта вообще... В /homes появился каталог юзера coadmin. Чё за ХУ##Я?????????? И как с эти бороться?

P.S. На reboot написал много всякой зрени но не переребутился, на poweroff попытался чего сделать, но завис. После перезагрузки загружаться отказался вообще.....

P.P.S. Переставил сервак,а следующий день таже хрень, только юзер содался по имени html.

[noname]

Ничего бывает (это вроде лишения девственности)

скорее всего тебя как сказать взломали что-ли .

ssh закрыт ладно а apache 1.3.22 -довольно древнии и если он у тебя не патченый перепатченый то могли и через него, на данный момент apache1.3.28 вроде стабильный ,
далее какие еще сервисы были , насчет postfix не знаю не пользовал .

подумай не могли ли это сделать из локальной сетки
чем больше какнал тем меньше времени надо злоумышленникам

то что ты переставил сервак и появилось то же самое , скорее всего значит что ты не закрыл старые уязвимости ну соответственно и результат....


RedHat 7.3 тоже довольно устаревший
ну imho решение на скорую руку - поставить тод-же редхет(переставить значит отформатировать все партиции и ставить заново - это в самом грубом варианте )отрубить все сетевые сервисы , и включить то что тебе действительно надо .
например Apache самый последний можно скачать и поставиь из исходников
аналогично весь необходимый софт
ну и firewall конечно

также если есть еще одна машина под unix-om полезно настроить syslog чтоб сервер сообщения слал на эту машину , часто бывает очень полезно , а в данном случае помогло бы понять что произошло , и как тебя взломали.

если интересно как тебя взломали можно примонтировать винт к другой системе и там разбиратся


ну а в дальнейщем регулярно читать всякие списки рассылки про уязвимости
по краиней мере того софта что установлен у тебя

и регулярно ОБНОВЛЯТСЯ.

Удачи

[vlad_22]

MoHaX
возможно оффтоп, тогда сорри.

мой совет ставь FreeBSD 4.8 stable и не парься

[noname]

2 vlad_22

ну ладно Freebsd , а апдейтить его совсем не надо ?? или эксплойты под bsd не работают ??

[vlad_22]

noname
само сабой надо, но не так часто, опят же, система пуле-непробиваема как скала, вот софт хромает. При установке софта из портов, если вовремя цвс-апить все будет имхо зашибись

[noname]

вот-вот вовремя , а чтобы вовремя надо быть в курсе событий , а так тот-же редхет после лоботомии ,
и некоторых других хирургических вмешательств , будет вполне нормальным серваком , особенно если ap-get прикрутить .
хотя imho FreeBSD под сервак лучше ну или Debian -кому что нравится.

[MoHaX]

А чего вообще означает данная надпись "Segmentation fault"??? Это с файловой системой чего-то или как?

[HASH]

"Segmentation fault" = "Программа выполнила недопустимую операцию и будет зевершена(убита, зарезана, удалена и выкинута:
нужное выпилить лобзиком )"
к файловой системе имет отдолённое отношение.

[MoHaX]

HASH Понял... А как с этим бороться?

[helldomain]

Debuggerom. A pered etim poprobowat sobrad chkrootkit.

[noname]

2 helldomain угу и также врубаться в код ассемблера

[helldomain]

Ugu.