Sælnú
Ég er nýkominn á þennan lista og nú vantar mig ráð. Þannig er að ég er með Linux vél á netinu hjá mér sem ég fékk ábendingu um að væri smituð af ormi þeim sem nefndur er í efnislínu þessa pósts (Apache/mod_ssl Worm). Þegar ég fór að lesa um hegðun hans þá passaði það alltsaman. Ég fór í gegnum þær leiðbeiningar sem ég fann við að uppfæra pakka á vélinni hjá mér.
Þessar upplýsingar fann ég á http://rhn.redhat.com/errata/RHSA-2002-160.html .
Nú er spurningin sú, hvernig veit ég fyrir víst hvort ég er laus við þennan ófögnuð af vélinni hjá mér?
Þekkir ekki einhver leið til sjá þetta.
Kveðjur bestar
----------------------------------------------------------
Adam Óskarsson - Kerfisstjóri VMA - adam@vma.is
-*- Adam Óskarsson adam@vma.is [ 2002-10-16 22:02 ]:
Sælnú
Ég er nýkominn á þennan lista og nú vantar mig ráð. Þannig er að ég er með Linux vél á netinu hjá mér sem ég fékk ábendingu um að væri smituð af ormi þeim sem nefndur er í efnislínu þessa pósts (Apache/mod_ssl Worm). Þegar ég fór að lesa um hegðun hans þá passaði það alltsaman. Ég fór í gegnum þær leiðbeiningar sem ég fann við að uppfæra pakka á vélinni hjá mér.
Þessar upplýsingar fann ég á http://rhn.redhat.com/errata/RHSA-2002-160.html .
Nú er spurningin sú, hvernig veit ég fyrir víst hvort ég er laus við þennan ófögnuð af vélinni hjá mér?
Þekkir ekki einhver leið til sjá þetta.
ps -A ætti að sýna þér öll process sem eru í keyrslu á vélinni, ormurinn kemur fram sem 'bugtraq' í þessum listanum sem þessi skipun spýtir út, ef þú sérð það keyra, þá skaltu drepa það (.. kill -9 [pid])
Auk þess, þá sýnir netstat -lnp þér öll process sem eru að hlusta á einhverjum portum, þessi ormur hlustar á UDP porti 2002.
Leifar af kvikindinu eru í /tmp .. heitir .bugtraq og sourceinn er í .bugtraq.c ..
Kv, -G.
PS: Mundu að þú verður að restarta apache til að Apache loadi nýju libbunum, og ef þú notar ekki https á vélinni, fjarlægðu þá mod_ssl.
participants (2)
-
Adam Óskarsson
-
Guðmundur D. Haraldsson