Eugene Berdnikov <bd4@protva.ru> writes: > On Sun, Jul 20, 2014 at 07:57:25PM +0400, C S wrote: >> спс, попробовал-при этом контрольная всех файлов, включая бинарник >> exim4 в path/ верная, а по сравнению с установленным в системе у них >> даже размер в байтах разный, хотя дата создания файла - одинаковая - >> 2 Января 2013 года... > > Похоже не троян. Особенно если файл с неправильной чексуммой больше > правильного: вредоносный код обычно дописывается к существующему. > > Я бы скормил этот файл антивирусу и/или отправил на исследование в > ДрВеб или Касперскому. Более того, желательно проверить всю машину > каким-нибудь антируткитом и подумать о переустановке системы. Допустим, что это руткит. Раз переустановка пакета не возымела эффекта - значит зловред не (только) там. Вопрос - где именно? Допустим, что он (где бы там ни был) отслеживает изменение файла /usr/sbin/exim4 и модифицирует его. Раз файл в пакете - правильный, то давайте его возьмём и тупо подменим тот, который сейчас лежит в системе, при этом в то же время натравим на него, к примеру, `watch ls -l'. Если зловред попытается изменить файл - то тем самым себя скомпрометирует, и можно будет отловить, где же он там сидит.
Attachment:
pgpmccZAlgQRn.pgp
Description: PGP signature