Arkadaşlar lütfen yardım: ZK Rootkit (Sunucumda)

MonteCristo · 10 Kasım 2010

Merhaba,

Bugün sunucu firmasında sunucum üzerinden ftp atak yapıldığı hakkında bir mail aldım. SSH'dan kontrol ettiğimde "lol.pl" adlı bir dosyanın buna sebep olduğunu gördüm.

İşlemi kill ile sonlandırdım ve x.php diye bir dosyanın çalıştığını da farkettim, onu da sonlandırdım.

Rootkit Hunter ile sistemi tarattırıyorum. ZK Rootkit girmiş.

Rootkit Hunter'ın log dosyasında şunlar var:

[13:18:42]
Checking for ZK Rootkit...
[13:18:42] Checking for file '/usr/share/.zk/zk' [ Not found ]
[13:18:42] Checking for file '/usr/X11R6/.zk/xfs' [ Found ]
[13:18:42] Checking for file '/usr/X11R6/.zk/echo' [ Not found ]
[13:18:42] Checking for file '/etc/1ssue.net' [ Not found ]
[13:18:42] Checking for file '/etc/sysconfig/console/load.zk' [ Not found ]
[13:18:42] Checking for directory '/usr/share/.zk' [ Not found ]
[13:18:42] Checking for directory '/usr/X11R6/.zk' [ Found ]
[13:18:42] Warning: ZK Rootkit [ Warning ]
[13:18:42] File '/usr/X11R6/.zk/xfs' found
[13:18:42] Directory '/usr/X11R6/.zk' found

Ayrıca şöyle bir yer daha var:

[13:18:59] Warning: One or more of these files were found: backdoor, adore.o, mod_rootme.so, phide_mod.o, lbk.ko, vlogger.o, cleaner.o, cleaner, ava, tzava, mod_klgr.o, hydra, hydra.restore, ras2xm, vobiscum, sshd3, system, t0rnsb, t0rns, t0rnp, rx4u, rx2me, crontab, sshd, sshdu, glotzer, holber, xhide, xh, emech, psybnc, mech, httpd.bin, mh, xl, write, Phantasmagoria.o, lkt.o, nlkt.o
Check the output of the lsof command 'lsof -F n -w -n'

İsterseniz tüm log'u buraya koyabilirim.

Konu hakkında ne yapabilirim? Yardımınıza ihtiyacım var.

mehmet-ali · 11 Kasım 2010

Sunucunu yedekleyip re-install yaptırabilirsin.

Arkadaşlar lütfen yardım: ZK Rootkit (Sunucumda)

MonteCristo

0

mehmet-ali

0

Backlink ve Tanıtım Yazısı için iletişime geçmek için Skype Adresimiz: .cid.1580508955483fe5