網域名稱俱樂部


返回   網域名稱俱樂部 > 電腦與網路技術 > 電腦網路相關技術

回覆
 
主題工具
  #1  
舊 2003-01-08, 05:11 PM
哈啦 的頭像
哈啦 哈啦 目前離線
論壇管理員
 
註冊日期: 2002-05-28
文章: 22,996
預設 有誰知道中了木馬程式該如何處理嗎?

剛才掃了一下另一台裝redhat8.0的主機,掃出「疑似」木馬程式被植入
訊息如下:
Checking `lkm'... You have 27 process hidden for ps command
Warning: Possible LKM Trojan installed


我看網路上很有限的文章有說這也有可能是系統誤判。但就是沒人提到解答

請問有人知道這是什麼木馬?該如何處理(除了系統重灌之外 )

thanks
回覆時引用此篇文章
  #2  
舊 2003-01-08, 06:23 PM
artchiu artchiu 目前離線
普通會員
 
註冊日期: 2002-11-10
文章: 36
預設

很久沒玩Linux了 對 LKM Trojan 也不是很了解
不過我猜把系統中所有的ps檔案都砍掉
然後重裝含有ps的rpm(我也不知道哪個rpm有)
或是去別的地方copy正常的ps回來應該可以解決
回覆時引用此篇文章
  #3  
舊 2003-01-09, 04:57 PM
哈啦 的頭像
哈啦 哈啦 目前離線
論壇管理員
 
註冊日期: 2002-05-28
文章: 22,996
預設

引用:
作者: artchiu
很久沒玩Linux了 對 LKM Trojan 也不是很了解
不過我猜把系統中所有的ps檔案都砍掉
然後重裝含有ps的rpm(我也不知道哪個rpm有)
或是去別的地方copy正常的ps回來應該可以解決
能不能請問一下,
一、ps是什麼東西?
二、它能被整個刪除、修改或重灌嗎?
三、我的系統是否需要整個殺掉,再重灌,而無法只是再灌一次「蓋」過去?

唉,真麻煩,雖然我平常沒有感到這台電腦有何異狀,看了網路上的文章試著去下載掃瞄程式才發現,不然先前也是很快樂的過 子
不知道訃算不算庸人自擾 ?
回覆時引用此篇文章
  #4  
舊 2003-01-09, 07:51 PM
artchiu artchiu 目前離線
普通會員
 
註冊日期: 2002-11-10
文章: 36
預設

引用:
作者: 哈啦
引用:
作者: artchiu
很久沒玩Linux了 對 LKM Trojan 也不是很了解
不過我猜把系統中所有的ps檔案都砍掉
然後重裝含有ps的rpm(我也不知道哪個rpm有)
或是去別的地方copy正常的ps回來應該可以解決
能不能請問一下,
一、ps是什麼東西?
二、它能被整個刪除、修改或重灌嗎?
三、我的系統是否需要整個殺掉,再重灌,而無法只是再灌一次「蓋」過去?

唉,真麻煩,雖然我平常沒有感到這台電腦有何異狀,看了網路上的文章試著去下載掃瞄程式才發現,不然先前也是很快樂的過 子
不知道訃算不算庸人自擾 ?
"Network security is Y2K without the deadline."
所以哈拉兄注意系統安全自然不是庸人自擾 ?

ps是一個程式 全名是 report process status
跟NT/2k/XP按alt-ctrl-del會出現的工作管理員是一樣的功能
那個LKM Trojan好像會把自己偽裝成這個程式
這樣一般人就不容易發現了
ps的位置應該在 /bin 這個目錄下面
如果怕它偷偷藏在別的地方 可以用下面這個指令找出系統中所有的ps
find / -name ps
(這個指令很耗資源喔 跑得時候整個系統會慢下來)

我不是很瞭解LKM Trojan的行為
也不瞭解Redhat的installer覆蓋重灌時會怎麼做
所以我也不知道再灌一次蓋過去有沒有效
哈拉兄何不把問題po上bbs/news看看有沒有人研究過可以提供解答
回覆時引用此篇文章
  #5  
舊 2003-01-09, 09:14 PM
哈啦 的頭像
哈啦 哈啦 目前離線
論壇管理員
 
註冊日期: 2002-05-28
文章: 22,996
預設

我依照你的指點打了檢查指令,查出以下那麼多的 ps,這都是類似的東西嗎?
/usr/lib/gimp/1.2/plug-ins/ps
/usr/share/doc/pam-0.75/ps
/usr/share/locale/l10n/ps
/usr/share/a2ps/ps
/usr/share/sgml/docbook/utils-0.6.11/backends/ps
/usr/share/xmlto/format/docbook/ps
/usr/share/xmlto/format/fo/ps
/bin/ps

該如何處理?
回覆時引用此篇文章
  #6  
舊 2003-01-10, 02:45 AM
artchiu artchiu 目前離線
普通會員
 
註冊日期: 2002-11-10
文章: 36
預設

引用:
作者: 哈啦
我依照你的指點打了檢查指令,查出以下那麼多的 ps,這都是類似的東西嗎?
/usr/lib/gimp/1.2/plug-ins/ps
/usr/share/doc/pam-0.75/ps
/usr/share/locale/l10n/ps
/usr/share/a2ps/ps
/usr/share/sgml/docbook/utils-0.6.11/backends/ps
/usr/share/xmlto/format/docbook/ps
/usr/share/xmlto/format/fo/ps
/bin/ps

該如何處理?
看起來好像只有/bin/ps比較可疑
哈拉兄試試看把另一台機器的ps copy到這一台機器蓋掉/bin/ps
然後重開機後在scan一次看看
如果還有的話我也不知道該怎麼辦了
回覆時引用此篇文章
  #7  
舊 2003-01-10, 04:08 AM
哈啦 的頭像
哈啦 哈啦 目前離線
論壇管理員
 
註冊日期: 2002-05-28
文章: 22,996
預設

引用:
作者: artchiu
看起來好像只有/bin/ps比較可疑
哈拉兄試試看把另一台機器的ps copy到這一台機器蓋掉/bin/ps
然後重開機後在scan一次看看
如果還有的話我也不知道該怎麼辦了
可是我另一台是redhat7.3,這一台是8.0,可以嗎?會不會因而當機?還是這個檔案就算錯誤也無傷系統的運作?
這兩台我都有用redhat提供的up2date升級最近成的套件,不知道這不同版本的套件是不是一樣?

thx
回覆時引用此篇文章
  #8  
舊 2003-01-10, 02:37 PM
artchiu artchiu 目前離線
普通會員
 
註冊日期: 2002-11-10
文章: 36
預設

引用:
作者: 哈啦
可是我另一台是redhat7.3,這一台是8.0,可以嗎?會不會因而當機?還是這個檔案就算錯誤也無傷系統的運作?
這兩台我都有用redhat提供的up2date升級最近成的套件,不知道這不同版本的套件是不是一樣?
thx
只要那兩個ps連結的動態函式庫一樣就可以通用
ps不是開機的重要檔案 錯誤的話只是少了可以看現在正在執行那些程式的功能
如果哈拉兄擔心的話可以先把8.0那台的ps壓縮起來備份
回覆時引用此篇文章
  #9  
舊 2003-01-10, 03:20 PM
哈啦 的頭像
哈啦 哈啦 目前離線
論壇管理員
 
註冊日期: 2002-05-28
文章: 22,996
預設

那能不能請教我指令如何下?如果刪?如何copy?要用rpm來install還是直接把另一台主機的/bin/ps整個copy下來再copy到另一台就好了?

回覆時引用此篇文章
  #10  
舊 2003-01-10, 06:59 PM
artchiu artchiu 目前離線
普通會員
 
註冊日期: 2002-11-10
文章: 36
預設

哈拉兄沒有裝Xwindow嗎?
如果有的話用圖形化的檔案總管
跟在Windows底下一樣的步驟
這樣會比打指令方便喔

不然還可以用Windows底下的cuteftp等軟體
把7.0那台DL下來再上傳到8.0那台這樣也可以
回覆時引用此篇文章
回覆

主題工具

發文規則
不可以發表新主題
不可以發表回覆
不可以上傳附件
不可以編輯自己的文章

啟用 BB 代碼
論壇啟用 表情符號
論壇啟用 [IMG] 代碼
論壇禁用 HTML 代碼



所有時間均為 +8。現在的時間是 11:33 PM


本站主機由網易虛擬主機代管
Powered by vBulletin® 版本 3.8.4
版權所有 ©2000 - 2024,Jelsoft Enterprises Ltd.