Onderwerp : Virus, rootkit ????

Auteur : herman.hart
E-mail : herman.hart op hccnet.nl
Datum : Do Jul 9 13:45:11 BST 2009


Beste allemaal,

Ik kreeg op een gegeven moment steeds een schermpje om
een php file te downloaden van http://ads.vrx.adbrite.com
dit was in het scherm niet te anuleren, ik had 2 keuzes
openen of opslaan.
de 1e keer heb ik het opgeslagen het had 0 bytes
en elke keer kwam het schermpje weer terug met de melding
dat ik had verzocht om een download, wat dus niet zo was.
--------------------------------------------------------------------
In Security Quick-Start HOWTO for Linux, hoofdstuk 6 staat ondermeer;
 
Files that cannot be deleted or moved. Some rootkits use chattr to make
files "immutable", or not changable. This kind of change will not show
up with ls, or rpm -V, so the files look normal at first glance. See the
man pages for chattr and lsattr on how to reverse this. Then see the
next section below on restoring your system as the jig is up at this
point. 

 This is becoming a more and more common script kiddie trick. In fact,
one quick test to run on a suspected system (as root): 

/usr/bin/lsattr `echo $PATH | tr ':' ' '` | grep i--
  
Bovenstaande lukt dus niet, ik kom niet in root.
-----------------------------------------------------------------------
chkrootkit eropgezet en geprobeerd te draaien, maar deze heeft ook
root privileges nodig, dus ik een sudo root gedaan maar dan krijg ik
sudo: root: command not found
en daarna kan ik sudo niet meer uitvoeren

Wat denken jullie, ben ik gehackt
Ik dacht dat Ubuntu goed dicht zat

Groet Herman