[Nlnog] Botnet

[Alain Gotz Shock Media]

> Lelijk maar effectief, cronjob elke 5 minuten draaien (even aanpassen waar 
> nodig): ps aux | grep apache | grep -v PHP | grep -v grep | awk '{print 
> $2}' | xargs kill -9 > /dev/null 2> /dev/null
> Mochten er dan processen onder apache gestart worden dan worden ze iig 
> direct weer afgeschoten.


Mijn ervaring is dat je moet uitkijken met het zomaar killen van verdachte
processen. Hoewel dat ook mijn eerste reactie zou zijn; heb ik wel eens
meegemaakt bij het killen van 1 process, er een ander process het systeem
nog verder om zeep hielp. Als ze echt volledig binnen zijn worden bestanden
in /bin /sbin en /usr/bin en /usr/sbin vaak overschreven door trojanned 
versies.
Dan ben je overigens aardig ver heen. Uitvoeren van lsof, netstat etc geeft
dan helemaal niet de resultaten die je nodig hebt, vaak verbergen die gewoon
de zaken die je juist wil zien of voeren doodleuk nog meer zooi uit dan dat 
er
al draaide. Je zal dus eerst moeten checken of de cmd's die je wilt 
uitvoeren
wel de originele zijn. Soms kun je dat zien aan de datum wanneer het bestand
is gemaakt. Als je het echt zeker wilt weten moet je regelmatig md5
bestandjes maken en vervolgens bij zo'n hack controleren welke bestanden
zijn gewijzigd.

Ik heb wel eens zo'n systeem gefixt door simpelweg alle files in /bin /sbin
/usr/bin en /usr/sbin uit een verse installatie te cp'en naar de bak vol 
trojans.
Een volledige herinstallatie was denk ik sneller en verstandiger geweest
trouwens.