Здравствуйте, sasvak, Вы писали:
S>Как подключиться по SSH к серверу через LINUX TERMINAL,
ssh -l <user> <ip или доменное имя>
Например, <user> sasvak и <ip> 192.168.1.1 (чисто для примера).
ssh -l sasvak 192.168.1.1
пароль
А потом вход от root:
su
пароль
При этом на сервере должна быть запущена служба ssh, по умолчанию она на 22 порте. Но это типичный сценарий использования. Можно ещё написать в графическом файловом менеджере в строке адреса:
Здравствуйте, velkin, Вы писали:
V>Здравствуйте, sasvak, Вы писали:
S>>Как подключиться по SSH к серверу через LINUX TERMINAL,
V>ssh -l <user> <ip или доменное имя>
V>Например, <user> sasvak и <ip> 192.168.1.1 (чисто для примера).
V>ssh -l sasvak 192.168.1.1 V>пароль
V>А потом вход от root:
V>su V>пароль
V>При этом на сервере должна быть запущена служба ssh, по умолчанию она на 22 порте. Но это типичный сценарий использования. Можно ещё написать в графическом файловом менеджере в строке адреса:
V>sftp://192.168.1.1 V>ввести логин и пароль V>или V>sftp://sasvak@192.168.1.1 V>ввести пароль
V>Шаблон использования для ip, login:password@ip:port ненужное опустить.
S>>найти и удалить backdoor?
V>Это проще спросить у гугла.
~ $ ssh sasvak1@10.97.249.65
random: ssh urandom read with 84 bits of entropy available
ssh: connect to host 10.97.249.65 port 22: Network unreachable
~ $
Re[3]: Как подключиться по SSH к серверу через LINUX TERMINAL, найти и удалить b
Здравствуйте, sasvak, Вы писали:
S>Здравствуйте, velkin, Вы писали:
V>>Здравствуйте, sasvak, Вы писали:
S>>>Как подключиться по SSH к серверу через LINUX TERMINAL,
V>>ssh -l <user> <ip или доменное имя>
V>>Например, <user> sasvak и <ip> 192.168.1.1 (чисто для примера).
V>>ssh -l sasvak 192.168.1.1 V>>пароль
V>>А потом вход от root:
V>>su V>>пароль
V>>При этом на сервере должна быть запущена служба ssh, по умолчанию она на 22 порте. Но это типичный сценарий использования. Можно ещё написать в графическом файловом менеджере в строке адреса:
V>>sftp://192.168.1.1 V>>ввести логин и пароль V>>или V>>sftp://sasvak@192.168.1.1 V>>ввести пароль
V>>Шаблон использования для ip, login:password@ip:port ненужное опустить.
S>>>найти и удалить backdoor?
V>>Это проще спросить у гугла.
S>
S>~ $ ssh sasvak1@10.97.249.65
S>random: ssh urandom read with 84 bits of entropy available
S>ssh: connect to host 10.97.249.65 port 22: Network unreachable
S>~ $
S>
~ $ ssh -vvv user@10.149.63.91
OpenSSH_6.6, OpenSSL 1.0.1h 5 Jun 2014
debug1: Reading configuration data /etc/ssh/ssh_config
random: ssh urandom read with 90 bits of entropy available
debug2: ssh_connect: needpriv 0
debug1: Connecting to 10.149.63.91 [10.149.63.91] port 22.
debug1: connect to address 10.149.63.91 port 22: Network unreachable
ssh: connect to host 10.149.63.91 port 22: Network unreachable
Re[4]: Как подключиться по SSH к серверу через LINUX TERMINAL, найти и удалить b
Здравствуйте, sasvak, Вы писали:
S>Задача почти решена, последний вопрос: нужно посмотреть запущенные процессы, найти тот, в котором запущен был бекдор и убить его. Как это сделать?
ps -aux
netstat -tulpn
Re[7]: Как подключиться по SSH к серверу через LINUX TERMINAL, найти и удалить b
Здравствуйте, kov_serg, Вы писали:
_>Здравствуйте, sasvak, Вы писали:
S>>Задача почти решена, последний вопрос: нужно посмотреть запущенные процессы, найти тот, в котором запущен был бекдор и убить его. Как это сделать? _>ps -aux _>netstat -tulpn
спасибо, вот еще один вопрос: Как создать и подключить swap-файл в /swap/9p?
После установки операционной системы забыл сделать swap-раздел и решил создать и подключить swap-файл в /swap/9p, чтобы не переразмечать диск,
Как это сделать?
Re[8]: Как подключиться по SSH к серверу через LINUX TERMINAL, найти и удалить b
Здравствуйте, sasvak, Вы писали:
S>спасибо, вот еще один вопрос: Как создать и подключить swap-файл в /swap/9p?
S>После установки операционной системы забыл сделать swap-раздел и решил создать и подключить swap-файл в /swap/9p, чтобы не переразмечать диск,
S>Как это сделать?
Для швапа обычно отдельный раздел используют. swapon/swapoff/mkswap https://www.cyberciti.biz/faq/linux-add-a-swap-file-howto/
Re[6]: Как подключиться по SSH к серверу через LINUX TERMINAL, найти и удалить b
s>>> S>~ $ ssh sasvak1@10.97.249.65
s>>> S>random: ssh urandom read with 84 bits of entropy available
s>>> S>ssh: connect to host 10.97.249.65 port 22: Network unreachable
s>>> S>~ $
s>>> S>
AB>>10.97.249.65 — это "серый" адрес. У тебя сервер в твоей же локальной сети? S>Задача почти решена, последний вопрос: нужно посмотреть запущенные процессы, найти тот, в котором запущен был бекдор и убить его. Как это сделать?
Предположим у нас есть некий сервер и ip-адрес, который достижим, плюс мы находимся в линуксе. Числа ip-адреса заменю на x для удобства, но надо вводить свой ip-адрес сервера.
Ввожу запрос в командной строке клиентской машины, то есть своего компьютера:
nmap -P0 x.x.x.x
А мне идёт ответ:
Starting Nmap 6.47 ( http://nmap.org ) at 2017-08-02 21:05 +04
Nmap scan report for netx.x.x-x.x.ru (x.x.x.x)
Host is up (0.56s latency).
Not shown: 999 filtered ports
PORT STATE SERVICE
22/tcp open ssh
Nmap done: 1 IP address (1 host up) scanned in 63.76 seconds
Причём у меня так настроено, что порт открыт, а пинговаться не будет, потому бесполезно писать ping x.x.x.x или использовать nmap с ключами пинга. Между прочим есть ещё gui-клиент zenmap, на дебиане из под рута ставится так:
apt-get install zenmap
Вот если порт открыт (22/tcp open ssh), тогда пробуем подключиться. При подключении в командной строке слева будут меняться название пользователя и компьютера. Так что если зашли от имени обычного пользователя лучше перезайти в рут и можно попробовать проверить систему как пишут в статье про rkhunter и другие. Я вот поробовал связаться с домашним ПК, у меня как раз там ssh открыт, пишет:
вывод консоли
rkhunter -c --enable all --disable none
[ Rootkit Hunter version 1.4.2 ]
Checking system commands...
Performing 'strings' command checks
Checking 'strings' command [ OK ]
Performing 'shared libraries' checks
Checking for preloading variables [ None found ]
Checking for preloaded libraries [ None found ]
Checking LD_LIBRARY_PATH variable [ Not found ]
Performing file properties checks
Checking for prerequisites [ OK ]
/usr/sbin/adduser [ OK ]
/usr/sbin/chroot [ OK ]
/usr/sbin/cron [ OK ]
/usr/sbin/groupadd [ OK ]
/usr/sbin/groupdel [ OK ]
/usr/sbin/groupmod [ OK ]
/usr/sbin/grpck [ OK ]
/usr/sbin/nologin [ OK ]
/usr/sbin/pwck [ OK ]
/usr/sbin/rsyslogd [ OK ]
/usr/sbin/sshd [ OK ]
/usr/sbin/tcpd [ OK ]
/usr/sbin/useradd [ OK ]
/usr/sbin/userdel [ OK ]
/usr/sbin/usermod [ OK ]
/usr/sbin/vipw [ OK ]
/usr/sbin/unhide-linux [ OK ]
/usr/sbin/unhide-posix [ OK ]
/usr/sbin/unhide-tcp [ OK ]
/usr/bin/awk [ OK ]
/usr/bin/basename [ OK ]
/usr/bin/chattr [ OK ]
/usr/bin/cut [ OK ]
/usr/bin/diff [ OK ]
/usr/bin/dirname [ OK ]
/usr/bin/dpkg [ OK ]
/usr/bin/dpkg-query [ OK ]
/usr/bin/du [ OK ]
/usr/bin/env [ OK ]
/usr/bin/file [ OK ]
/usr/bin/find [ OK ]
/usr/bin/GET [ OK ]
/usr/bin/groups [ OK ]
/usr/bin/head [ OK ]
/usr/bin/id [ OK ]
/usr/bin/killall [ OK ]
/usr/bin/last [ OK ]
/usr/bin/lastlog [ OK ]
/usr/bin/ldd [ OK ]
/usr/bin/less [ OK ]
/usr/bin/locate [ OK ]
/usr/bin/logger [ OK ]
/usr/bin/lsattr [ OK ]
/usr/bin/lsof [ OK ]
/usr/bin/mail [ OK ]
/usr/bin/md5sum [ OK ]
/usr/bin/mlocate [ OK ]
/usr/bin/newgrp [ OK ]
/usr/bin/passwd [ OK ]
/usr/bin/perl [ OK ]
/usr/bin/pgrep [ OK ]
/usr/bin/pkill [ OK ]
/usr/bin/pstree [ OK ]
/usr/bin/rkhunter [ OK ]
/usr/bin/runcon [ OK ]
/usr/bin/sha1sum [ OK ]
/usr/bin/sha224sum [ OK ]
/usr/bin/sha256sum [ OK ]
/usr/bin/sha384sum [ OK ]
/usr/bin/sha512sum [ OK ]
/usr/bin/size [ OK ]
/usr/bin/sort [ OK ]
/usr/bin/ssh [ OK ]
/usr/bin/stat [ OK ]
/usr/bin/strings [ OK ]
/usr/bin/sudo [ OK ]
/usr/bin/tail [ OK ]
/usr/bin/telnet [ OK ]
/usr/bin/test [ OK ]
/usr/bin/top [ OK ]
/usr/bin/touch [ OK ]
/usr/bin/tr [ OK ]
/usr/bin/uniq [ OK ]
/usr/bin/users [ OK ]
/usr/bin/vmstat [ OK ]
/usr/bin/w [ OK ]
/usr/bin/watch [ OK ]
/usr/bin/wc [ OK ]
/usr/bin/wget [ OK ]
/usr/bin/whatis [ OK ]
/usr/bin/whereis [ OK ]
/usr/bin/which [ OK ]
/usr/bin/who [ OK ]
/usr/bin/whoami [ OK ]
/usr/bin/unhide [ OK ]
/usr/bin/gawk [ OK ]
/usr/bin/lwp-request [ OK ]
/usr/bin/bsd-mailx [ OK ]
/usr/bin/telnet.netkit [ OK ]
/usr/bin/w.procps [ OK ]
/sbin/depmod [ OK ]
/sbin/fsck [ OK ]
/sbin/ifconfig [ OK ]
/sbin/ifdown [ OK ]
/sbin/ifup [ OK ]
/sbin/init [ OK ]
/sbin/insmod [ OK ]
/sbin/ip [ OK ]
/sbin/lsmod [ OK ]
/sbin/modinfo [ OK ]
/sbin/modprobe [ OK ]
/sbin/rmmod [ OK ]
/sbin/route [ OK ]
/sbin/runlevel [ OK ]
/sbin/sulogin [ OK ]
/sbin/sysctl [ OK ]
/bin/bash [ OK ]
/bin/cat [ OK ]
/bin/chmod [ OK ]
/bin/chown [ OK ]
/bin/cp [ OK ]
/bin/date [ OK ]
/bin/df [ OK ]
/bin/dmesg [ OK ]
/bin/echo [ OK ]
/bin/egrep [ OK ]
/bin/fgrep [ OK ]
/bin/fuser [ OK ]
/bin/grep [ OK ]
/bin/ip [ OK ]
/bin/kill [ OK ]
/bin/less [ OK ]
/bin/login [ OK ]
/bin/ls [ OK ]
/bin/lsmod [ OK ]
/bin/mktemp [ OK ]
/bin/more [ OK ]
/bin/mount [ OK ]
/bin/mv [ OK ]
/bin/netstat [ OK ]
/bin/ping [ OK ]
/bin/ps [ OK ]
/bin/pwd [ OK ]
/bin/readlink [ OK ]
/bin/sed [ OK ]
/bin/sh [ OK ]
/bin/su [ OK ]
/bin/touch [ OK ]
/bin/uname [ OK ]
/bin/which [ OK ]
/bin/kmod [ OK ]
/bin/systemd [ OK ]
/bin/systemctl [ OK ]
/bin/dash [ OK ]
/lib/systemd/systemd [ OK ]
[Press <ENTER> to continue]
Checking for rootkits...
Performing check of known rootkit files and directories
55808 Trojan - Variant A [ Not found ]
ADM Worm [ Not found ]
AjaKit Rootkit [ Not found ]
Adore Rootkit [ Not found ]
aPa Kit [ Not found ]
Apache Worm [ Not found ]
Ambient (ark) Rootkit [ Not found ]
Balaur Rootkit [ Not found ]
BeastKit Rootkit [ Not found ]
beX2 Rootkit [ Not found ]
BOBKit Rootkit [ Not found ]
cb Rootkit [ Not found ]
CiNIK Worm (Slapper.B variant) [ Not found ]
Danny-Boy's Abuse Kit [ Not found ]
Devil RootKit [ Not found ]
Dica-Kit Rootkit [ Not found ]
Dreams Rootkit [ Not found ]
Duarawkz Rootkit [ Not found ]
Enye LKM [ Not found ]
Flea Linux Rootkit [ Not found ]
Fu Rootkit [ Not found ]
Fuck`it Rootkit [ Not found ]
GasKit Rootkit [ Not found ]
Heroin LKM [ Not found ]
HjC Kit [ Not found ]
ignoKit Rootkit [ Not found ]
IntoXonia-NG Rootkit [ Not found ]
Irix Rootkit [ Not found ]
Jynx Rootkit [ Not found ]
KBeast Rootkit [ Not found ]
Kitko Rootkit [ Not found ]
Knark Rootkit [ Not found ]
ld-linuxv.so Rootkit [ Not found ]
Li0n Worm [ Not found ]
Lockit / LJK2 Rootkit [ Not found ]
Mood-NT Rootkit [ Not found ]
MRK Rootkit [ Not found ]
Ni0 Rootkit [ Not found ]
Ohhara Rootkit [ Not found ]
Optic Kit (Tux) Worm [ Not found ]
Oz Rootkit [ Not found ]
Phalanx Rootkit [ Not found ]
Phalanx2 Rootkit [ Not found ]
Phalanx2 Rootkit (extended tests) [ Not found ]
Portacelo Rootkit [ Not found ]
R3dstorm Toolkit [ Not found ]
RH-Sharpe's Rootkit [ Not found ]
RSHA's Rootkit [ Not found ]
Scalper Worm [ Not found ]
Sebek LKM [ Not found ]
Shutdown Rootkit [ Not found ]
SHV4 Rootkit [ Not found ]
SHV5 Rootkit [ Not found ]
Sin Rootkit [ Not found ]
Slapper Worm [ Not found ]
Sneakin Rootkit [ Not found ]
'Spanish' Rootkit [ Not found ]
Suckit Rootkit [ Not found ]
Superkit Rootkit [ Not found ]
TBD (Telnet BackDoor) [ Not found ]
TeLeKiT Rootkit [ Not found ]
T0rn Rootkit [ Not found ]
trNkit Rootkit [ Not found ]
Trojanit Kit [ Not found ]
Tuxtendo Rootkit [ Not found ]
URK Rootkit [ Not found ]
Vampire Rootkit [ Not found ]
VcKit Rootkit [ Not found ]
Volc Rootkit [ Not found ]
Xzibit Rootkit [ Not found ]
zaRwT.KiT Rootkit [ Not found ]
ZK Rootkit [ Not found ]
[Press <ENTER> to continue]
Performing additional rootkit checks
Suckit Rookit additional checks [ OK ]
Checking for possible rootkit files and directories [ None found ]
Checking for possible rootkit strings [ None found ]
Performing malware checks
Checking running processes for deleted files [ Warning ]
Checking running processes for suspicious files [ None found ]
Checking for hidden processes [ None found ]
Checking for files with suspicious contents [ None found ]
Checking for login backdoors [ None found ]
Checking for suspicious directories [ None found ]
Checking for sniffer log files [ None found ]
Suspicious Shared Memory segments [ None found ]
Performing Linux specific checks
Checking loaded kernel modules [ OK ]
Checking kernel module names [ OK ]
[Press <ENTER> to continue]
Checking the network...
Performing checks on the network ports
Checking for backdoor ports [ None found ]
Checking for hidden ports [ None found ]
Performing checks on the network interfaces
Checking for promiscuous interfaces [ None found ]
Checking for packet capturing applications [ Warning ]
Checking the local host...
Performing system boot checks
Checking for local host name [ Found ]
Checking for system startup files [ Found ]
Checking system startup files for malware [ None found ]
Performing group and account checks
Checking for passwd file [ Found ]
Checking for root equivalent (UID 0) accounts [ None found ]
Checking for passwordless accounts [ None found ]
Checking for passwd file changes [ None found ]
Checking for group file changes [ None found ]
Checking root account shell history files [ OK ]
Performing system configuration file checks
Checking for an SSH configuration file [ Found ]
Checking if SSH root access is allowed [ Warning ]
Checking if SSH protocol v1 is allowed [ Not allowed ]
Checking for a running system logging daemon [ Found ]
Checking for a system logging configuration file [ Found ]
Checking if syslog remote logging is allowed [ Not allowed ]
Performing filesystem checks
Checking /dev for suspicious file types [ Warning ]
Checking for hidden files and directories [ Warning ]
[Press <ENTER> to continue]
Checking application versions...
Checking version of Exim MTA [ OK ]
Checking version of GnuPG [ OK ]
Checking version of OpenSSL [ OK ]
Checking version of Procmail MTA [ OK ]
Checking version of OpenSSH [ OK ]
System checks summary
=====================
File properties checks...
Files checked: 145
Suspect files: 0
Rootkit checks...
Rootkits checked : 379
Possible rootkits: 0
Applications checks...
Applications checked: 5
Suspect applications: 0
The system checks took: 58 seconds
All results have been written to the log file: /var/log/rkhunter.log
One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)
Но в целом я согласен с людьми, которые предлагают грохнуть скомпрометированную операционку, то есть отформатировать диск и поставить заново, или если это виртуальный выделенный сервер, грохнуть его из админки. Как говорится поздно пить боржоми (делать слепки безопасности ОС), когда почки отвалились, но попробовать можно.
Re[7]: Как подключиться по SSH к серверу через LINUX TERMINAL, найти и удалить b
Здравствуйте, velkin, Вы писали: V>Здравствуйте, sasvak, Вы писали: s>>>> S>
s>>>> S>~ $ ssh sasvak1@10.97.249.65
s>>>> S>random: ssh urandom read with 84 bits of entropy available
s>>>> S>ssh: connect to host 10.97.249.65 port 22: Network unreachable
s>>>> S>~ $
s>>>> S>
AB>>>10.97.249.65 — это "серый" адрес. У тебя сервер в твоей же локальной сети? S>>Задача почти решена, последний вопрос: нужно посмотреть запущенные процессы, найти тот, в котором запущен был бекдор и убить его. Как это сделать? V>Написало сеть недоступна или недостижима. V>Как быстро проверить Linux сервер на предмет взлома V>Установка, настройка и использование сканера уязвимостей сервера rkhunter V>Предположим у нас есть некий сервер и ip-адрес, который достижим, плюс мы находимся в линуксе. Числа ip-адреса заменю на x для удобства, но надо вводить свой ip-адрес сервера. V>Ввожу запрос в командной строке клиентской машины, то есть своего компьютера: V>
V>nmap -P0 x.x.x.x
V>
V>А мне идёт ответ: V>
V>Starting Nmap 6.47 ( http://nmap.org ) at 2017-08-02 21:05 +04
V>Nmap scan report for netx.x.x-x.x.ru (x.x.x.x)
V>Host is up (0.56s latency).
V>Not shown: 999 filtered ports
V>PORT STATE SERVICE
V>22/tcp open ssh
V>Nmap done: 1 IP address (1 host up) scanned in 63.76 seconds
V>
V>Причём у меня так настроено, что порт открыт, а пинговаться не будет, потому бесполезно писать ping x.x.x.x или использовать nmap с ключами пинга. Между прочим есть ещё gui-клиент zenmap, на дебиане из под рута ставится так: V>
V>apt-get install zenmap
V>
V>Вот если порт открыт (22/tcp open ssh), тогда пробуем подключиться. При подключении в командной строке слева будут меняться название пользователя и компьютера. Так что если зашли от имени обычного пользователя лучше перезайти в рут и можно попробовать проверить систему как пишут в статье про rkhunter и другие. Я вот поробовал связаться с домашним ПК, у меня как раз там ssh открыт, пишет: V>
вывод консоли
V>
V>rkhunter -c --enable all --disable none
V>[ Rootkit Hunter version 1.4.2 ]
V>Checking system commands...
V> Performing 'strings' command checks
V> Checking 'strings' command [ OK ]
V> Performing 'shared libraries' checks
V> Checking for preloading variables [ None found ]
V> Checking for preloaded libraries [ None found ]
V> Checking LD_LIBRARY_PATH variable [ Not found ]
V> Performing file properties checks
V> Checking for prerequisites [ OK ]
V> /usr/sbin/adduser [ OK ]
V> /usr/sbin/chroot [ OK ]
V> /usr/sbin/cron [ OK ]
V> /usr/sbin/groupadd [ OK ]
V> /usr/sbin/groupdel [ OK ]
V> /usr/sbin/groupmod [ OK ]
V> /usr/sbin/grpck [ OK ]
V> /usr/sbin/nologin [ OK ]
V> /usr/sbin/pwck [ OK ]
V> /usr/sbin/rsyslogd [ OK ]
V> /usr/sbin/sshd [ OK ]
V> /usr/sbin/tcpd [ OK ]
V> /usr/sbin/useradd [ OK ]
V> /usr/sbin/userdel [ OK ]
V> /usr/sbin/usermod [ OK ]
V> /usr/sbin/vipw [ OK ]
V> /usr/sbin/unhide-linux [ OK ]
V> /usr/sbin/unhide-posix [ OK ]
V> /usr/sbin/unhide-tcp [ OK ]
V> /usr/bin/awk [ OK ]
V> /usr/bin/basename [ OK ]
V> /usr/bin/chattr [ OK ]
V> /usr/bin/cut [ OK ]
V> /usr/bin/diff [ OK ]
V> /usr/bin/dirname [ OK ]
V> /usr/bin/dpkg [ OK ]
V> /usr/bin/dpkg-query [ OK ]
V> /usr/bin/du [ OK ]
V> /usr/bin/env [ OK ]
V> /usr/bin/file [ OK ]
V> /usr/bin/find [ OK ]
V> /usr/bin/GET [ OK ]
V> /usr/bin/groups [ OK ]
V> /usr/bin/head [ OK ]
V> /usr/bin/id [ OK ]
V> /usr/bin/killall [ OK ]
V> /usr/bin/last [ OK ]
V> /usr/bin/lastlog [ OK ]
V> /usr/bin/ldd [ OK ]
V> /usr/bin/less [ OK ]
V> /usr/bin/locate [ OK ]
V> /usr/bin/logger [ OK ]
V> /usr/bin/lsattr [ OK ]
V> /usr/bin/lsof [ OK ]
V> /usr/bin/mail [ OK ]
V> /usr/bin/md5sum [ OK ]
V> /usr/bin/mlocate [ OK ]
V> /usr/bin/newgrp [ OK ]
V> /usr/bin/passwd [ OK ]
V> /usr/bin/perl [ OK ]
V> /usr/bin/pgrep [ OK ]
V> /usr/bin/pkill [ OK ]
V> /usr/bin/pstree [ OK ]
V> /usr/bin/rkhunter [ OK ]
V> /usr/bin/runcon [ OK ]
V> /usr/bin/sha1sum [ OK ]
V> /usr/bin/sha224sum [ OK ]
V> /usr/bin/sha256sum [ OK ]
V> /usr/bin/sha384sum [ OK ]
V> /usr/bin/sha512sum [ OK ]
V> /usr/bin/size [ OK ]
V> /usr/bin/sort [ OK ]
V> /usr/bin/ssh [ OK ]
V> /usr/bin/stat [ OK ]
V> /usr/bin/strings [ OK ]
V> /usr/bin/sudo [ OK ]
V> /usr/bin/tail [ OK ]
V> /usr/bin/telnet [ OK ]
V> /usr/bin/test [ OK ]
V> /usr/bin/top [ OK ]
V> /usr/bin/touch [ OK ]
V> /usr/bin/tr [ OK ]
V> /usr/bin/uniq [ OK ]
V> /usr/bin/users [ OK ]
V> /usr/bin/vmstat [ OK ]
V> /usr/bin/w [ OK ]
V> /usr/bin/watch [ OK ]
V> /usr/bin/wc [ OK ]
V> /usr/bin/wget [ OK ]
V> /usr/bin/whatis [ OK ]
V> /usr/bin/whereis [ OK ]
V> /usr/bin/which [ OK ]
V> /usr/bin/who [ OK ]
V> /usr/bin/whoami [ OK ]
V> /usr/bin/unhide [ OK ]
V> /usr/bin/gawk [ OK ]
V> /usr/bin/lwp-request [ OK ]
V> /usr/bin/bsd-mailx [ OK ]
V> /usr/bin/telnet.netkit [ OK ]
V> /usr/bin/w.procps [ OK ]
V> /sbin/depmod [ OK ]
V> /sbin/fsck [ OK ]
V> /sbin/ifconfig [ OK ]
V> /sbin/ifdown [ OK ]
V> /sbin/ifup [ OK ]
V> /sbin/init [ OK ]
V> /sbin/insmod [ OK ]
V> /sbin/ip [ OK ]
V> /sbin/lsmod [ OK ]
V> /sbin/modinfo [ OK ]
V> /sbin/modprobe [ OK ]
V> /sbin/rmmod [ OK ]
V> /sbin/route [ OK ]
V> /sbin/runlevel [ OK ]
V> /sbin/sulogin [ OK ]
V> /sbin/sysctl [ OK ]
V> /bin/bash [ OK ]
V> /bin/cat [ OK ]
V> /bin/chmod [ OK ]
V> /bin/chown [ OK ]
V> /bin/cp [ OK ]
V> /bin/date [ OK ]
V> /bin/df [ OK ]
V> /bin/dmesg [ OK ]
V> /bin/echo [ OK ]
V> /bin/egrep [ OK ]
V> /bin/fgrep [ OK ]
V> /bin/fuser [ OK ]
V> /bin/grep [ OK ]
V> /bin/ip [ OK ]
V> /bin/kill [ OK ]
V> /bin/less [ OK ]
V> /bin/login [ OK ]
V> /bin/ls [ OK ]
V> /bin/lsmod [ OK ]
V> /bin/mktemp [ OK ]
V> /bin/more [ OK ]
V> /bin/mount [ OK ]
V> /bin/mv [ OK ]
V> /bin/netstat [ OK ]
V> /bin/ping [ OK ]
V> /bin/ps [ OK ]
V> /bin/pwd [ OK ]
V> /bin/readlink [ OK ]
V> /bin/sed [ OK ]
V> /bin/sh [ OK ]
V> /bin/su [ OK ]
V> /bin/touch [ OK ]
V> /bin/uname [ OK ]
V> /bin/which [ OK ]
V> /bin/kmod [ OK ]
V> /bin/systemd [ OK ]
V> /bin/systemctl [ OK ]
V> /bin/dash [ OK ]
V> /lib/systemd/systemd [ OK ]
V>[Press <ENTER> to continue]
V>Checking for rootkits...
V> Performing check of known rootkit files and directories
V> 55808 Trojan - Variant A [ Not found ]
V> ADM Worm [ Not found ]
V> AjaKit Rootkit [ Not found ]
V> Adore Rootkit [ Not found ]
V> aPa Kit [ Not found ]
V> Apache Worm [ Not found ]
V> Ambient (ark) Rootkit [ Not found ]
V> Balaur Rootkit [ Not found ]
V> BeastKit Rootkit [ Not found ]
V> beX2 Rootkit [ Not found ]
V> BOBKit Rootkit [ Not found ]
V> cb Rootkit [ Not found ]
V> CiNIK Worm (Slapper.B variant) [ Not found ]
V> Danny-Boy's Abuse Kit [ Not found ]
V> Devil RootKit [ Not found ]
V> Dica-Kit Rootkit [ Not found ]
V> Dreams Rootkit [ Not found ]
V> Duarawkz Rootkit [ Not found ]
V> Enye LKM [ Not found ]
V> Flea Linux Rootkit [ Not found ]
V> Fu Rootkit [ Not found ]
V> Fuck`it Rootkit [ Not found ]
V> GasKit Rootkit [ Not found ]
V> Heroin LKM [ Not found ]
V> HjC Kit [ Not found ]
V> ignoKit Rootkit [ Not found ]
V> IntoXonia-NG Rootkit [ Not found ]
V> Irix Rootkit [ Not found ]
V> Jynx Rootkit [ Not found ]
V> KBeast Rootkit [ Not found ]
V> Kitko Rootkit [ Not found ]
V> Knark Rootkit [ Not found ]
V> ld-linuxv.so Rootkit [ Not found ]
V> Li0n Worm [ Not found ]
V> Lockit / LJK2 Rootkit [ Not found ]
V> Mood-NT Rootkit [ Not found ]
V> MRK Rootkit [ Not found ]
V> Ni0 Rootkit [ Not found ]
V> Ohhara Rootkit [ Not found ]
V> Optic Kit (Tux) Worm [ Not found ]
V> Oz Rootkit [ Not found ]
V> Phalanx Rootkit [ Not found ]
V> Phalanx2 Rootkit [ Not found ]
V> Phalanx2 Rootkit (extended tests) [ Not found ]
V> Portacelo Rootkit [ Not found ]
V> R3dstorm Toolkit [ Not found ]
V> RH-Sharpe's Rootkit [ Not found ]
V> RSHA's Rootkit [ Not found ]
V> Scalper Worm [ Not found ]
V> Sebek LKM [ Not found ]
V> Shutdown Rootkit [ Not found ]
V> SHV4 Rootkit [ Not found ]
V> SHV5 Rootkit [ Not found ]
V> Sin Rootkit [ Not found ]
V> Slapper Worm [ Not found ]
V> Sneakin Rootkit [ Not found ]
V> 'Spanish' Rootkit [ Not found ]
V> Suckit Rootkit [ Not found ]
V> Superkit Rootkit [ Not found ]
V> TBD (Telnet BackDoor) [ Not found ]
V> TeLeKiT Rootkit [ Not found ]
V> T0rn Rootkit [ Not found ]
V> trNkit Rootkit [ Not found ]
V> Trojanit Kit [ Not found ]
V> Tuxtendo Rootkit [ Not found ]
V> URK Rootkit [ Not found ]
V> Vampire Rootkit [ Not found ]
V> VcKit Rootkit [ Not found ]
V> Volc Rootkit [ Not found ]
V> Xzibit Rootkit [ Not found ]
V> zaRwT.KiT Rootkit [ Not found ]
V> ZK Rootkit [ Not found ]
V>[Press <ENTER> to continue]
V> Performing additional rootkit checks
V> Suckit Rookit additional checks [ OK ]
V> Checking for possible rootkit files and directories [ None found ]
V> Checking for possible rootkit strings [ None found ]
V> Performing malware checks
V> Checking running processes for deleted files [ Warning ]
V> Checking running processes for suspicious files [ None found ]
V> Checking for hidden processes [ None found ]
V> Checking for files with suspicious contents [ None found ]
V> Checking for login backdoors [ None found ]
V> Checking for suspicious directories [ None found ]
V> Checking for sniffer log files [ None found ]
V> Suspicious Shared Memory segments [ None found ]
V> Performing Linux specific checks
V> Checking loaded kernel modules [ OK ]
V> Checking kernel module names [ OK ]
V>[Press <ENTER> to continue]
V>Checking the network...
V> Performing checks on the network ports
V> Checking for backdoor ports [ None found ]
V> Checking for hidden ports [ None found ]
V> Performing checks on the network interfaces
V> Checking for promiscuous interfaces [ None found ]
V> Checking for packet capturing applications [ Warning ]
V>Checking the local host...
V> Performing system boot checks
V> Checking for local host name [ Found ]
V> Checking for system startup files [ Found ]
V> Checking system startup files for malware [ None found ]
V> Performing group and account checks
V> Checking for passwd file [ Found ]
V> Checking for root equivalent (UID 0) accounts [ None found ]
V> Checking for passwordless accounts [ None found ]
V> Checking for passwd file changes [ None found ]
V> Checking for group file changes [ None found ]
V> Checking root account shell history files [ OK ]
V> Performing system configuration file checks
V> Checking for an SSH configuration file [ Found ]
V> Checking if SSH root access is allowed [ Warning ]
V> Checking if SSH protocol v1 is allowed [ Not allowed ]
V> Checking for a running system logging daemon [ Found ]
V> Checking for a system logging configuration file [ Found ]
V> Checking if syslog remote logging is allowed [ Not allowed ]
V> Performing filesystem checks
V> Checking /dev for suspicious file types [ Warning ]
V> Checking for hidden files and directories [ Warning ]
V>[Press <ENTER> to continue]
V>Checking application versions...
V> Checking version of Exim MTA [ OK ]
V> Checking version of GnuPG [ OK ]
V> Checking version of OpenSSL [ OK ]
V> Checking version of Procmail MTA [ OK ]
V> Checking version of OpenSSH [ OK ]
V>System checks summary
V>=====================
V>File properties checks...
V> Files checked: 145
V> Suspect files: 0
V>Rootkit checks...
V> Rootkits checked : 379
V> Possible rootkits: 0
V>Applications checks...
V> Applications checked: 5
V> Suspect applications: 0
V>The system checks took: 58 seconds
V>All results have been written to the log file: /var/log/rkhunter.log
V>One or more warnings have been found while checking the system.
V>Please check the log file (/var/log/rkhunter.log)
V>
V>Но в целом я согласен с людьми, которые предлагают грохнуть скомпрометированную операционку, то есть отформатировать диск и поставить заново, или если это виртуальный выделенный сервер, грохнуть его из админки. Как говорится поздно пить боржоми (делать слепки безопасности ОС), когда почки отвалились, но попробовать можно.
спасибо, вот еще один вопрос: Как создать и подключить swap-файл в /swap/9p? S>После установки операционной системы забыл сделать swap-раздел и решил создать и подключить swap-файл в /swap/9p, чтобы не переразмечать диск, S>Как это сделать?
Re: Как подключиться по SSH к серверу через LINUX TERMINAL, найти и удалить back
Здравствуйте, Pzz, Вы писали:
Pzz>Здравствуйте, sasvak, Вы писали:
S>>Как подключиться по SSH к серверу через LINUX TERMINAL, найти и удалить backdoor?
Pzz>$ ssh root@сервер Pzz># find / -name \*backdoor\* | xargs rm Pzz># reboot
Как создать и подключить swap-файл в /swap/9p?
После установки операционной системы забыл сделать swap-раздел и решил создать и подключить swap-файл в /swap/9p, чтобы не переразмечать диск,
Как создать и подключить swap-файл в /swap/9p в терминале линукс?
Как это сделать?
Re[9]: Как подключиться по SSH к серверу через LINUX TERMINAL, найти и удалить b
Здравствуйте, kov_serg, Вы писали:
_>Здравствуйте, sasvak, Вы писали:
S>>спасибо, вот еще один вопрос: Как создать и подключить swap-файл в /swap/9p?
S>>После установки операционной системы забыл сделать swap-раздел и решил создать и подключить swap-файл в /swap/9p, чтобы не переразмечать диск,
S>>Как это сделать? _>Для швапа обычно отдельный раздел используют. swapon/swapoff/mkswap _>https://www.cyberciti.biz/faq/linux-add-a-swap-file-howto/
Там нужно свап в файле организовать, чтобы свапфайл звался /swap/9p. Вот только после обычного dd-mkswap swapon ругается, что мол «file has holes»
Как с этим бороться? Впервые такое вижу. Корень смонтирован 9p. Говорят, что надо применять loop устройства
Re[10]: Как подключиться по SSH к серверу через LINUX TERMINAL, найти и удалить
Здравствуйте, pestis, Вы писали:
P>Здравствуйте, sasvak, Вы писали:
S>>Как подключиться по SSH к серверу через LINUX TERMINAL, найти и удалить backdoor?
P>
Здравствуйте, sasvak, Вы писали:
S>Там нужно свап в файле организовать, чтобы свапфайл звался /swap/9p. Вот только после обычного dd-mkswap swapon ругается, что мол «file has holes» S>Как с этим бороться? Впервые такое вижу. Корень смонтирован 9p. Говорят, что надо применять loop устройства
А нафига вам swap файл?
У меня файл без holes на 16Гб создался без проблем
Попробуйте так с образом диска
dd if=/dev/zero of=disk.img bs=1M count=1001
mkfs.ext4 disk.img
mkdir disk
sudo mount -o loop disk.img disk
sudo dd if=/dev/zero of=disk/swapfile bs=1M count=1000
sudo mkswap disk/swapfile
sudo swapon disk/swapfile
... profit
sudo swapoff disk/swapfile
sudo umount disk
rm disk.img
