chkrootkit i skrypty crona.

[Tomasz Wittner]

Dnia wto 16. września 2003 20:51, Paweł Gołaszewski napisał:
> Dzisiaj z rana miałem "przyjemną" pobudkę - dzwonił telefon ze skargą, że
Program, którego intencją jest, żeby administrator mógł spać spokojnie...  .W 
moim przypadku uruchomiło się to o 2:00 a zajrzałem o 5:00 - nie musiałem 
podróżować ;-)
> maszyna nie działa. Zapchał się /var/
> Okazało się, że było sześć 2G plików w /var/tmp/. Co ciekawe po usunięciu
> miejsca mi nie przybyło, więc poszukałem co trzyma je otwarte. Był to grep
> uruchamiany przez chkrootkit-a. Po skillowaniu wszystko wróciło do normy.

To samo miałem w lutym - chrootkit "oryginalny" (nie z paczki rpm). 
> Pliki miały wielkość, na jaką pozwalał limit w systemach RA. Sądzę jednak,
> że AC czy nest nie sprawiłoby tutaj różnicy - tak samo doprowadziłoby do
> zapchania fs-a, tylko pliki byłyby większe.
[...]
> Czy ktoś się spotkał z czymś takim? 
j.w. + dużo więcej (mam zachowany kawałek logów - było ich kilkaset MB w 3 
godz.), np.: żadna usługa nie nie mogła się przybindować do swoich portów, 
coś a'la DOS na tcpd ...
>Jakieś pomysły?
Tak - nie używać (bez ironii, baaaardzo się tym zraziłem).

-- 
Tomasz Wittner