From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <naf@naf.net.ru>
X-Spam-Checker-Version: SpamAssassin 3.2.4 (2008-01-01) on sa.int.altlinux.org
X-Spam-Level: 
X-Spam-Status: No, score=-1.1 required=5.0 tests=AWL,BAYES_00,SPF_PASS
	autolearn=ham version=3.2.4
Date: Fri, 15 Aug 2008 11:13:24 +0400
From: "Nikolay A. Fetisov" <naf@naf.net.ru>
To: community@lists.altlinux.org
Message-ID: <20080815111324.6557ffc8@v3405.naf.net.ru>
In-Reply-To: <48A51E16.8090405@nevod.ru>
References: <48A51E16.8090405@nevod.ru>
X-Mailer: Claws Mail 3.4.0cvs51 (GTK+ 2.12.8; x86_64-alt-linux-gnu)
Mime-Version: 1.0
Content-Type: text/plain; charset=KOI8-R
Content-Transfer-Encoding: 8bit
Subject: Re: [Comm] =?koi8-r?b?+sHSwdbFzsnFICDexdLXxc0gcHNjYW4yIChEZWxsZXMp?=
 =?koi8-r?b?IEFMVExpbnV4IE1hc3RlciAtIM3F1M/E2SDMxd7FzsnRIMkg2sHbydTZ?=
X-BeenThere: community@lists.altlinux.org
X-Mailman-Version: 2.1.10b3
Precedence: list
Reply-To: ALT Linux Community general discussions
	<community@lists.altlinux.org>
List-Id: ALT Linux Community general discussions <community.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/listinfo/community>,
	<mailto:community-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/community>
List-Post: <mailto:community@lists.altlinux.org>
List-Help: <mailto:community-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/community>,
	<mailto:community-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Fri, 15 Aug 2008 07:17:42 -0000
Archived-At: <http://lore.altlinux.org/community/20080815111324.6557ffc8@v3405.naf.net.ru/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

On Fri, 15 Aug 2008 12:11:34 +0600
Костарев Алексей wrote:

> На один из серверов под ALTLinux регулярно полазит червь pscan2 (dalles) 
> и  немеряно  отжирает интернет-трафик
> ...

Точное название не помешало бы. А то есть отличия даже в теле и в
заголовке письма. pscan2 - это просто сканер, сам проникнуть
в систему он не может. Кто-то его скопировал, скомпилировал, запустил.

В целом:
- проверить пароли пользователей. Особенно если сканер запускается от
какого-то одного аккаунта. Убрать доступ по SSH для всех пользователей,
которым он не нужен;
- проверить, нет ли чего-либо ненужного/непонятного из работающих
программ, лишнее отключить;
- настроить firewall, закрыть всё ненужное из внешней из из внутренней
сетей;
- проверить содержимое файлов crontab и at на наличие закладок;
- проверить, установлены ли все доступные обновления по безопасности;
- проверить систему на наличие rootkit'ов, закладок и т.п.
- если что-то доставлялось в систему не из пакетов - проверить отдельно
и особо. Если система используется как веб-сервер - проверить
установленные веб-приложения на наличие дыр.

-- 
С уважением,	
Николай Фетисов