10 Февраль 2003 13:32, Elena Egorova написал: > Здравствуйте, > > Как можно обнаружить наличие руткитов или атак? Как определить что > > заставило зависнуть сервак? Причём пинги на него идут, но когда начинаешь > > нажимать клавиши на серваке - перестают идти даже пинги. В логах ничего > > не заметил кроме подобного: > > > > Feb 3 06:56:04 host kernel: Packet log: prii DENY eth0 PROTO=17 > > 192.168.191.5:138 192.168.191.255:138 L=229 S=0x00 I=55221 F=0x0000 T=128 > > (#6) > > > > Может кто чего предположить? Кста.... на сервак были установлены пакеты > > snort & nmap за пару дней до этого. > > netbios-dgm 138/tcp # NETBIOS Datagram Service > netbios-dgm 138/udp > Это похоже на широковещательные запросы виндовых машин, если они > сконфигурированы не на использование wins для разрешения своих виндовых > имен. Вы же лучше знаете архитектуру вашей сети и должны знать, могут ли у wins отключены на виндовых машинах (их кста.... не много) а почему тогда это идёт от eth0, которая глядит наружу и адреса в моей локалке 192.168.2.* и вообще, может это и не имеет никакого значения, просто перед зависами несколько раз замечены DENY на адрес 192.168.191.5
> вас бегать такие пакеты. По поводу руткитов - проверить все открытые > соединения, проверить md5 всех установленных пакетов (особенно тех, которые > работают как демоны). Проверить права на /tmp. lrwxrwxrwx 1 root root 5 Sep 27 18:30 /tmp -> m/tmp что-то не так? > В крайнем случае, всегда есть консоль, на которую можно зайти с соседнего > сервера и посмотреть, в чем проблема (нуль-модемный кабель + getty). а чем смотреть? на solaris вроде было через hardwire