chkrootkit i skrypty crona.

[Paweł Gołaszewski]

Dzisiaj z rana miałem "przyjemną" pobudkę - dzwonił telefon ze skargą, że 
maszyna nie działa. Zapchał się /var/
Okazało się, że było sześć 2G plików w /var/tmp/. Co ciekawe po usunięciu 
miejsca mi nie przybyło, więc poszukałem co trzyma je otwarte. Był to grep 
uruchamiany przez chkrootkit-a. Po skillowaniu wszystko wróciło do normy.

Pliki miały wielkość, na jaką pozwalał limit w systemach RA. Sądzę jednak, 
że AC czy nest nie sprawiłoby tutaj różnicy - tak samo doprowadziłoby do 
zapchania fs-a, tylko pliki byłyby większe.

Tiwek jakiś czas temu wspominał, że miał takie problemy i z rana go 
podpytałem. Mówił, że rozwiązaniem jest usunięcie z /etc/shells  r* albo 
przesunięcie, żeby nie było ostatnie.

Nie wiem czy to zadziała u mnie, ale i tak nie podoba mi się 
"rozwiązanie"... a w zasadzie taśma klejąca.

Czy ktoś się spotkał z czymś takim? Jakieś pomysły?

-- 
pozdr.  Paweł Gołaszewski 
---------------------------------
worth to see: http://www.againsttcpa.com/
CPU not found - software emulation...