Hallo!

Eine ganz dringende Frage!

F-Prot findet auf einem Server den Virus Unix/RST.B oder auch als Linux/RST.B bekannt.

Wie kann ich den Virus entfernen?

Der Virus wird auf fast jeder Datei gefunden. Auch auf der F-Prot Datei, obwohl ich gerade eine neuinstallation von F-Prot durchgeführt habe und auch die bin Dateien überspielte.

Weiss irgend jemand wie man den Virus entfernen kann?

Danke!

Martin

Da bleibt Dir wohl nichts anderes übrig, als ALLE betroffenen Files zu löschen und diese neuzuinstallieren.

Auch Linux ist nicht vor Viren sicher...

Ich habe mich mal schlau gemacht.

http://www.viruslist.com/eng/viruslist.html?id=4348
http://www.sophos.com/virusinfo/analyses/linuxrstb.html
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=ELF_RST.B


Der Virus kann kein Root-Recht erlangen. Wenn der Virus die Dateien in /bin infisziert hat, dann wurde er mit root-Rechten ausgeführt: Direkt, oder als ein Binary, das ein zuvor infiszierter User erstellt hat als Root ausgeführt wurde.

Zudem ist es auch möglich, dass jemand über das Backdoor, das der Virus öffnet, eingedrungen ist und einen der bekannten Root-Exploits verwendet hat um Root-Rechte zu erlangen (um nur die bekanntesten zu nennen: ptrace-bug oder do_brk()-bug)

Vorschlag: Am einfachsten ist das neu einspielen des Systems. Alternativ können auch alle Binaries neu installiert werden. Dazu ist aber ein sauberes System notwendig, wobei sich z.B. Knoppix anbietet.

Vorerst aber den Netzwerk-Stecker ziehen!

Damit die Daten auf der Datenpartition nicht gelöscht werden müssen (fein raus bist du natürlich, wenn du ein Backup davon hast), müssen auf diesen Partitionen alle Ausführbaren ELF-Dateien gelöscht werden, damit nicht versehentlich der Virus wieder geladen wird. Folgendes Kommando übernimmt das für die in /mnt eingehängte Partition (Vorsicht!):

find /mnt -type f -exec test -x \{\} \; -print | xargs file | grep ELF | cut -d ":" -f 1 | xargs rm -i

Nun sollte das System upgedated werden. Wichtig: neuer Kernel und die üblichen Updates für die Software-Pakete.

Gruss, Andy

Hallo!

Danke für die Ausführliche Antwort!

Kurzum das System dürfte seit 2 Wochen wieder Virenfrei sein.

Der Virus war auf einem Server oben, kurz nachdem der Server, Ziel eines Hackerangriffes wurde. (über 13000 Dateien wurden zerstört)

Nachdem wir das letzte Backup (20 Stunden vor dem Hackerangriff) wieder eingespielt hatten, war plötzlich der Virus im System.

Wie ich den Virus weg gebracht hatte.

Über SSH war das nicht zu schaffen. Daher machte ich ein shutdown und am nächsten Werktag fuhr ich zum Provider. Hängte das Netzwerkkabel ab.

Dort startete ich von Knoppix CD aus und spielte das Backup von der CD aus, auf die Festplatte.

Probierte zu booten, was gelang. Machte den Scan und war Virenfrei.

Änderte sämtliche Benutzer und Root Passwörter.

Der Hacker dürfte durch einen Benutzer der rootrechte hatte, reingekommen gewesen sein. Dieses Passwort war zwar Buchstaben Zahlenkombi, aber nur 5 stellig.

Nagut, jetzt sind alle Passwörter vielstellig mit allen möglichen Zeichen, Zahlen und Buchstaben. Jetzt sollte es nicht mehr so leicht sein, ein Passwort zu knacken.

Danke für eure Hilfe!

Martin

Original geschrieben von marmor
Der Hacker dürfte durch einen Benutzer der rootrechte hatte, reingekommen gewesen sein. Dieses Passwort war zwar Buchstaben Zahlenkombi, aber nur 5 stellig.

zur weiteren sicherung der passwoerter wuerde ich nun john (the ripper) oder aehnliches einsetzten um den (usern|dir selbst) auf die finger zu (schauen|hauen). :eek:

tip (nur zur begrifflichkeit): es koennte sein, das sich eines tages hacker angegriffen fuehlen,
wenn du die begriffe hacker und cracker durcheinander wirfst (was die medien ja leider zur allg. volksverdummung zelebrieren). :rolleyes:
see also: rfc1983 (http://www.faqs.org/rfcs/rfc1983.html) und ggf. my $hacker (http://www.catb.org/~esr/jargon/html/H/hacker.html)

cu,
ein hacker ;)

Hallo!

Danke für eure Antworten!

Noch eine Frage zu RST.B

Wenn er sich im /tmp Verzeichnis einnistet. Dann hat er noch keine root Rechte.

Sobald ich die Dateien lösche (oder das ganze Verzeichnis mit rm -r ) dann nistet sich der Virus in /bin ein.

Aber so wie es derzeit ist (es sind nur zwei Dateien im /tmp Verzeichnis infiziert), funktioniert der PC auch nicht.

Kann ich den Virus irgendwie per ssh entfernen, ohne daß er sich ausbreitet?

Würde chmod 644 helfen oder irgend etwas anderes? Als User löschen klappt nicht. Keine Dateirechte.... dafür ging der Virus als user in den Arbeitsspeicher, den habe ich aber schon rausgekillt

Irgendwie habe ich keine gescheiten Infos gefunden.

Als Virenscan habe ich F-Prot.

Der kann ihn aber nicht entfernen.

Infos habe ich auch auf dieser Seite gefunden:
http://www.securityfocus.com/archive/100/249357/2002-01-08/2002-01-14/0
http://www.qualys.com/company/newsroom/newsreleases/usa/01_09_02
(bis jetzt die besten)
Doch der Link zum Download funktioniert nicht ganz.....

Vielen Dank!

Beste Grüße

Martin

per knoppix booten

platte mounten und /mount/tmp killen ;)

Gruß Temp

Hi Temp!

Danke! Das machte ich auch damals! Nur wäre schön ob es auch eine Möglichkeit gäbe, daß ich den Virus per ssh von der Ferne aus entfernen kann!

Beste Grüße

Martin