-*- Adam Óskarsson <adam@vma.is> [ 2002-10-16 22:02 ]:

Sælnú

Ég er nýkominn á þennan lista og nú vantar mig ráð. Þannig er að ég er með Linux vél á netinu hjá mér sem ég fékk ábendingu um að væri smituð af ormi þeim sem nefndur er í efnislínu þessa pósts (Apache/mod_ssl Worm). Þegar ég fór að lesa um hegðun hans þá passaði það alltsaman. Ég fór í gegnum þær leiðbeiningar sem ég fann við að uppfæra pakka á vélinni hjá mér.

Þessar upplýsingar fann ég á http://rhn.redhat.com/errata/RHSA-2002-160.html .

Nú er spurningin sú, hvernig veit ég fyrir víst hvort ég er laus við þennan ófögnuð af vélinni hjá mér?

Þekkir ekki einhver leið til sjá þetta.

ps -A ætti að sýna þér öll process sem eru í keyrslu á vélinni, ormurinn kemur fram sem 'bugtraq' í þessum listanum sem þessi skipun spýtir út, ef þú sérð það keyra, þá skaltu drepa það (.. kill -9 [pid]) Auk þess, þá sýnir netstat -lnp þér öll process sem eru að hlusta á einhverjum portum, þessi ormur hlustar á UDP porti 2002. Leifar af kvikindinu eru í /tmp .. heitir .bugtraq og sourceinn er í .bugtraq.c .. Kv, -G. PS: Mundu að þú verður að restarta apache til að Apache loadi nýju libbunum, og ef þú notar ekki https á vélinni, fjarlægðu þá mod_ssl. -- =================================================================================== | Guðmundur D. Haraldsson | When you have eliminated the impossible,| | gdh@binhex.EU.org | what ever remains, however improbable, | | http://www.binhex.EU.org/ | must be the truth. | | | - Sherlock Holmes, "The sign of four" | |---------------------------------------------------------------------------------| | GPG key: lynx -dump http://vlug.eyjar.is/gdh/gpgkey.asc | gpg --import | | Key fingerprint = DE6D A875 EA92 0699 9B49 8C49 2DBB 76BF ADD4 C933 | =================================================================================== // Spammers will be affixiated in paté!