[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: md5sum на packages.debian.org



Eugene Berdnikov <bd4@protva.ru> writes:

> On Sun, Jul 20, 2014 at 07:57:25PM +0400, C S wrote:
>> спс, попробовал-при этом контрольная всех файлов, включая бинарник
>> exim4 в path/ верная, а по сравнению с установленным в системе у них
>> даже размер в байтах разный, хотя дата создания файла - одинаковая -
>> 2 Января 2013 года...
>
>  Похоже не троян. Особенно если файл с неправильной чексуммой больше
>  правильного: вредоносный код обычно дописывается к существующему.
>
>  Я бы скормил этот файл антивирусу и/или отправил на исследование в
>  ДрВеб или Касперскому. Более того, желательно проверить всю машину
>  каким-нибудь антируткитом и подумать о переустановке системы.

Допустим, что это руткит. Раз переустановка пакета не возымела эффекта -
значит зловред не (только) там. Вопрос - где именно?

Допустим, что он (где бы там ни был) отслеживает изменение файла
/usr/sbin/exim4 и модифицирует его. Раз файл в пакете - правильный, то
давайте его возьмём и тупо подменим тот, который сейчас лежит в системе,
при этом в то же время натравим на него, к примеру, `watch ls -l'. Если
зловред попытается изменить файл - то тем самым себя скомпрометирует, и
можно будет отловить, где же он там сидит.

Attachment: pgppXkDnS9pRs.pgp
Description: PGP signature


Reply to: