PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Virenproblem auf Suse 8.2


bjt
28.03.06, 07:54
Hi wir haben ein kleines Problem.

Einer unsere Server ist von einem massiven Virenbefall betroffen gewesen. Wir konnten so einige Viren mit f-prot unschädlich machen. Als wir gestern den Server mal neustarten mussten, mussten wir feststellen das f-prot 11 neue Viren gefunden hat und zwar in /usr/local/bin

sehr unschön das ganze da wie man sehen kann auch die tcpserver datei befallen ist was das problem aufwirft das sich der smtpd und pop3d dienst von qmail nicht mehr starten lassen.

F-Prot kann die Viren nicht entfernen aus den Dateien und komplett will ich sie lieber net löschen.

Nun meine Frage wir haben noch nen alten Suse 8.2 Server laufen, kann ich von dem die Dateien über die befallen drüberkopieren ohne das dabei was zu schaden kommt?

F-PROT ANTIVIRUS
Program version: 4.3.4
Engine version: 3.14.8

VIRUS SIGNATURE FILES
SIGN.DEF created 23 March 2006
SIGN2.DEF created 23 March 2006
MACRO.DEF created 23 March 2006

Search: /usr/local/bin
Action: Report only
Files: Attempt to identify files
Switches: <none>

/usr/local/bin/tcpserver Infection: Unix/RST.B
/usr/local/bin/tcprules Infection: Unix/RST.B
/usr/local/bin/tcprulescheck Infection: Unix/RST.B
/usr/local/bin/argv0 Infection: Unix/RST.B
/usr/local/bin/recordio Infection: Unix/RST.B
/usr/local/bin/tcpclient Infection: Unix/RST.B
/usr/local/bin/mconnect-io Infection: Unix/RST.B
/usr/local/bin/addcr Infection: Unix/RST.B
/usr/local/bin/delcr Infection: Unix/RST.B
/usr/local/bin/fixcrio Infection: Unix/RST.B
/usr/local/bin/rblsmtpd Infection: Unix/RST.B

Results of virus scanning:

Files: 38
MBRs: 0
Boot sectors: 0
Objects scanned: 38
Infected: 11
Suspicious: 0
Disinfected: 0
Deleted: 0
Renamed: 0
oracle2025
28.03.06, 10:05
Installier ein aktuelles System.
pibi
29.03.06, 10:19
Oder etwas praeziser und ausfuehrlicher:

Du bringst das System nicht mehr sauber, jedenfalls nicht, wenn Du hier um Rat fragen musst. Sichere alle Daten(!) irgendwo auf einen anderen Server. Installiere dann ein neues System auf diesem Server. Dies kann eine (angepasste) Kopie eines laufenden Systems sein oder eine komplette Neuinstallation "aus der Schachtel" Deiner Wahl. SuSE 8.2 ist zwar nicht mehr ganz neu, aber fuer die meisten Anwendungen voll ausreichend (laeuft bei mir auch noch mehrfach). Nur einzelne Files kopieren ist Flickwerk und bringt Dir ausser viel Arbeit nichts.

Kopiere nachher nur die Daten wieder zurueck, die 100% virenfrei sind.

Und frage Dich anschliessend, wie der Virus auf diesen Server gelangen konnte. Wer hat (aus Bequemlichkeit) als root gearbeitet, womoeglich im Internet? Wer hat von wo zweifelhafte Programme installiert?

Gruss Pit.
marce
29.03.06, 11:21
für einen direkt im Netz erreichbaren Server würde ich keine 8.2 mehr nehmen - da dafür einfach keine Updates mehr zur Verfügung gestellt werden...
bla!zilla
29.03.06, 11:46
Ich würde mich an eurer Stelle fragen wie die Viren auf die Maschine gekommen sind. Das ist der erste UNIX-Server mit Virenbefall von dem ich gehört habe. Das es Viren für UNIX / Linux gibt weiß ich, aber es tatsächlich mal ein produktives System getroffen hat?!
leon
29.03.06, 12:36
Ich schließe mich meinem Vorredner an. Ich denke das F-Prot hier was reininterpretiert. Schaue mal welche Dateien er bemängelt. Eventuell hat F-Prot beim ersten Start eine Art Checksumme erstellt und diese hat sich nun geändert.


Leon
marce
29.03.06, 12:39
Interpretier da lieber nicht zu viel...

Ich für meinen Fall würde dem System auf keinen Fall mehr trauen...

Was läuft denn auf dem System - und welcher Patchlevel war eingespielt? - weil:

http://de.nntp2http.com/admin/net-abuse/misc/2006/01/0e0cff1ddc037b3a22c2a93bcd28efad.html
xstevex22
29.03.06, 13:40
Ich würde mich an eurer Stelle fragen wie die Viren auf die Maschine gekommen sind. Das ist der erste UNIX-Server mit Virenbefall von dem ich gehört habe. Das es Viren für UNIX / Linux gibt weiß ich, aber es tatsächlich mal ein produktives System getroffen hat?!

Hi!
Ich hatte mal einen 1&1 root Server, älteres SuSE System. Dieser Server wurde gehackt, rootkits drauf, etc. Diese rootkits waren alle virenverseucht.
Dieser RST.B Virus befällt Dateien in bin Verzeichnissen, bläht diese um ein paar Bytes auf und lauscht auf einem UDP Port.
Reicht also, wenn die init verseucht ist.
Setze das System neu auf. Spart Zeit und Ärger.
LX-Ben
29.03.06, 15:21
Um noch mehr Informationen zu bekommen „Was ist passiert?“ sollte zusätzlich ein Online-Virenscanner genutzt werden – dieser hier ist zum Beispiel von hoher Qualität und hat kaum Fehlalarme --> http://www.kaspersky.com/de/downloads?chapter=146440356