Re: md5sum на packages.debian.org

To: Eugene Berdnikov <bd4@protva.ru>, "debian-russian@lists.debian.org" <debian-russian@lists.debian.org>
Subject: Re: md5sum на packages.debian.org
From: C S <ll755ll@yandex.ru>
Date: Mon, 21 Jul 2014 10:38:13 +0400
Message-id: <[🔎] 3879021405924693@web27h.yandex.ru>
In-reply-to: <[🔎] 20140720185037.GD3837@sie.protva.ru>
References: <[🔎] 3023171405674382@web2j.yandex.ru> <[🔎] 20140718222730.18d78e44@Ulf.tvoe.tv> <[🔎] 1139691405744262@web13g.yandex.ru> <[🔎] 87mwc5lxtz.fsf@lpt00.freehck.ru> <[🔎] 5738501405769073@web16h.yandex.ru> <[🔎] 8738dwleaz.fsf@lpt00.freehck.ru> <[🔎] 20140720192449.11ad7c04@Ulf.tvoe.tv> <[🔎] 5410011405871845@web20g.yandex.ru> <[🔎] 20140720185037.GD3837@sie.protva.ru>

проверять антивирусом буду чуть позже, а пока такие результаты:

$ sudo unhide brute
Unhide 20110113
http://www.unhide-forensics.info
[*]Starting scanning using brute force against PIDS with fork()

[*]Starting scanning using brute force against PIDS with pthread functions

Found HIDDEN PID: 18286 "  ... maybe a transitory process"
Found HIDDEN PID: 18290 "  ... maybe a transitory process"
Found HIDDEN PID: 18301 "  ... maybe a transitory process"
Found HIDDEN PID: 18302 "  ... maybe a transitory process"
Found HIDDEN PID: 18307 "  ... maybe a transitory process"
Found HIDDEN PID: 18321 "  ... maybe a transitory process"
Found HIDDEN PID: 18331 "  ... maybe a transitory process"
Found HIDDEN PID: 18341 "  ... maybe a transitory process"
Found HIDDEN PID: 18350 "  ... maybe a transitory process"

при этом эти PID постоянно меняются и через ps ax| grep номер_pid
тишина...

chkrootkit ничего подозрительного не нашёл, кроме:
Checking `chkutmp'...                                        The tty of the following user process(es) were not found
 in /var/run/utmp !

--
BW

C S

20.07.2014, 22:51, "Eugene Berdnikov" <bd4@protva.ru>:
> On Sun, Jul 20, 2014 at 07:57:25PM +0400, C S wrote:
>>  спс, попробовал-при этом контрольная всех файлов, включая бинарник
>>  exim4 в path/ верная, а по сравнению с установленным в системе у них
>>  даже размер в байтах разный, хотя дата создания файла - одинаковая -
>>  2 Января 2013 года...
>
>  Похоже не троян. Особенно если файл с неправильной чексуммой больше
>  правильного: вредоносный код обычно дописывается к существующему.
>
>  Я бы скормил этот файл антивирусу и/или отправил на исследование в
>  ДрВеб или Касперскому. Более того, желательно проверить всю машину
>  каким-нибудь антируткитом и подумать о переустановке системы.
> --
>  Eugene Berdnikov
>
> --
> To UNSUBSCRIBE, email to debian-russian-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
> Archive: [🔎] 20140720185037.GD3837@sie.protva.ru">https://lists.debian.org/[🔎] 20140720185037.GD3837@sie.protva.ru

Reply to:

References:
- md5sum на packages.debian.org
  - From: C S <ll755ll@yandex.ru>
- Re: md5sum на packages.debian.org
  - From: dimas <dimas000@ya.ru>
- Re: md5sum на packages.debian.org
  - From: C S <ll755ll@yandex.ru>
- Re: md5sum на packages.debian.org
  - From: Dmitrii Kashin <freehck@freehck.ru>
- Re: md5sum на packages.debian.org
  - From: C S <ll755ll@yandex.ru>
- Re: md5sum на packages.debian.org
  - From: Dmitrii Kashin <freehck@freehck.ru>
- Re: md5sum на packages.debian.org
  - From: dimas <dimas000@ya.ru>
- Re: md5sum на packages.debian.org
  - From: C S <ll755ll@yandex.ru>
- Re: md5sum на packages.debian.org
  - From: Eugene Berdnikov <bd4@protva.ru>

Prev by Date: Re: md5sum на packages.debian.org
Next by Date: Re: md5sum на packages.debian.org
Previous by thread: Re: md5sum на packages.debian.org
Next by thread: Re: md5sum на packages.debian.org
Index(es):
- Date
- Thread