---

Hvordan ser man om man er blever "ramt" af slapper worm på en redhat boks ?

/Karsten

---

Karsten Rasmussen wrote:
> Hvordan ser man om man er blever "ramt" af slapper worm på en redhat boks ?
>
> /Karsten
>


http://www.cert.org/advisories/CA-2002-27.html

Se under "Identifying infected hosts" ... heldigvis ret nemt at checke.

Peter

---

> > Hvordan ser man om man er blever "ramt" af slapper worm på en redhat
boks ?
> >
> > /Karsten
> http://www.cert.org/advisories/CA-2002-27.html
>
> Se under "Identifying infected hosts" ... heldigvis ret nemt at checke.
>
Aargh har fundet ud af at maskinen blev angrebet af "slapper" variant b og
c.
Jeg har opgraderet med up2date til nyeste versioner, og slettet det kode der
ligger i /tmp biblioteket. Hvad skal man ellers foretage sig, er chrootkit
vejen frem. Umiddelbart ser det ikke ud til at der er åbnet nogen porte på
maskinen som ikke var der før, men kan man stole på netstat nu ?.

/Karsten

---

Karsten Rasmussen wrote:

> Aargh har fundet ud af at maskinen blev angrebet af "slapper" variant b
og
> c.
> Jeg har opgraderet med up2date til nyeste versioner, og slettet det kode
der
> ligger i /tmp biblioteket. Hvad skal man ellers foretage sig, er chrootkit
> vejen frem. Umiddelbart ser det ikke ud til at der er åbnet nogen porte på
> maskinen som ikke var der før, men kan man stole på netstat nu ?.

Jeg ville ikke stole på noget som helst på maskinen. Jeg ville
sikkerhedskopiere alle data og geninstallere systemet fra bunden.

/Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
Hidden DOS secret:
add BUGS=OFF to your CONFIG.SYS
----------------------------------[ moffe at amagerkollegiet dot dk ] --

---

Karsten Rasmussen wrote:

> Hvordan ser man om man er blever "ramt" af slapper worm på en redhat boks
> ?
>
> /Karsten



chkrootkit inkluderer også check for slapper worm nu.

http://www.chkrootkit.org/

Rune