Re: md5sum на packages.debian.org
проверять антивирусом буду чуть позже, а пока такие результаты:
$ sudo unhide brute
Unhide 20110113
http://www.unhide-forensics.info
[*]Starting scanning using brute force against PIDS with fork()
[*]Starting scanning using brute force against PIDS with pthread functions
Found HIDDEN PID: 18286 " ... maybe a transitory process"
Found HIDDEN PID: 18290 " ... maybe a transitory process"
Found HIDDEN PID: 18301 " ... maybe a transitory process"
Found HIDDEN PID: 18302 " ... maybe a transitory process"
Found HIDDEN PID: 18307 " ... maybe a transitory process"
Found HIDDEN PID: 18321 " ... maybe a transitory process"
Found HIDDEN PID: 18331 " ... maybe a transitory process"
Found HIDDEN PID: 18341 " ... maybe a transitory process"
Found HIDDEN PID: 18350 " ... maybe a transitory process"
при этом эти PID постоянно меняются и через ps ax| grep номер_pid
тишина...
chkrootkit ничего подозрительного не нашёл, кроме:
Checking `chkutmp'... The tty of the following user process(es) were not found
in /var/run/utmp !
--
BW
C S
20.07.2014, 22:51, "Eugene Berdnikov" <bd4@protva.ru>:
> On Sun, Jul 20, 2014 at 07:57:25PM +0400, C S wrote:
>> спс, попробовал-при этом контрольная всех файлов, включая бинарник
>> exim4 в path/ верная, а по сравнению с установленным в системе у них
>> даже размер в байтах разный, хотя дата создания файла - одинаковая -
>> 2 Января 2013 года...
>
> Похоже не троян. Особенно если файл с неправильной чексуммой больше
> правильного: вредоносный код обычно дописывается к существующему.
>
> Я бы скормил этот файл антивирусу и/или отправил на исследование в
> ДрВеб или Касперскому. Более того, желательно проверить всю машину
> каким-нибудь антируткитом и подумать о переустановке системы.
> --
> Eugene Berdnikov
>
> --
> To UNSUBSCRIBE, email to debian-russian-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
> Archive: [🔎] 20140720185037.GD3837@sie.protva.ru">https://lists.debian.org/[🔎] 20140720185037.GD3837@sie.protva.ru
Reply to: