From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: X-Spam-Checker-Version: SpamAssassin 3.2.4 (2008-01-01) on sa.int.altlinux.org X-Spam-Level: X-Spam-Status: No, score=-1.1 required=5.0 tests=AWL,BAYES_00,SPF_PASS autolearn=ham version=3.2.4 Date: Fri, 15 Aug 2008 11:13:24 +0400 From: "Nikolay A. Fetisov" To: community@lists.altlinux.org Message-ID: <20080815111324.6557ffc8@v3405.naf.net.ru> In-Reply-To: <48A51E16.8090405@nevod.ru> References: <48A51E16.8090405@nevod.ru> X-Mailer: Claws Mail 3.4.0cvs51 (GTK+ 2.12.8; x86_64-alt-linux-gnu) Mime-Version: 1.0 Content-Type: text/plain; charset=KOI8-R Content-Transfer-Encoding: 8bit Subject: Re: [Comm] =?koi8-r?b?+sHSwdbFzsnFICDexdLXxc0gcHNjYW4yIChEZWxsZXMp?= =?koi8-r?b?IEFMVExpbnV4IE1hc3RlciAtIM3F1M/E2SDMxd7FzsnRIMkg2sHbydTZ?= X-BeenThere: community@lists.altlinux.org X-Mailman-Version: 2.1.10b3 Precedence: list Reply-To: ALT Linux Community general discussions List-Id: ALT Linux Community general discussions List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Fri, 15 Aug 2008 07:17:42 -0000 Archived-At: List-Archive: List-Post: On Fri, 15 Aug 2008 12:11:34 +0600 Костарев Алексей wrote: > На один из серверов под ALTLinux регулярно полазит червь pscan2 (dalles) > и немеряно отжирает интернет-трафик > ... Точное название не помешало бы. А то есть отличия даже в теле и в заголовке письма. pscan2 - это просто сканер, сам проникнуть в систему он не может. Кто-то его скопировал, скомпилировал, запустил. В целом: - проверить пароли пользователей. Особенно если сканер запускается от какого-то одного аккаунта. Убрать доступ по SSH для всех пользователей, которым он не нужен; - проверить, нет ли чего-либо ненужного/непонятного из работающих программ, лишнее отключить; - настроить firewall, закрыть всё ненужное из внешней из из внутренней сетей; - проверить содержимое файлов crontab и at на наличие закладок; - проверить, установлены ли все доступные обновления по безопасности; - проверить систему на наличие rootkit'ов, закладок и т.п. - если что-то доставлялось в систему не из пакетов - проверить отдельно и особо. Если система используется как веб-сервер - проверить установленные веб-приложения на наличие дыр. -- С уважением, Николай Фетисов