On 5 Gen, 10:50, Davide Prina <[EMAIL PROTECTED]> wrote: > jose wrote: > > Ho seguito quanto da te sopra descritto, ho rimosso findutils (a > > quanto pare è un comando di sistema perchè mi ha fatto inserire la > > frase per la rimozione forzata) e ho provato a rinstallarlo ma mi esce > > io non ti ho detto di forzare la rimozione, anzi ho detto che la > rimozione doveva essere fatta solo se non ti chiedeva di rimuovere mezzo > sistema, cioè solo se al massimo dovevi rimuovere pochi altri pacchetti > ... che poi reinstallavi subito dopo. > > Forzare la rimozione di un pacchetto non è mai una cosa buona. > > > impossibile creare il link per la copia di sicurezza di `./usr/bin/ > > find' prima di installarne la nuova versione: Operation not permitted > > dpkg-deb: il sottoprocesso paste è stato terminato dal segnale (Pipe > > rotta) > > come ha scritto NN_il_Confusionario (in privato): > ----8<----8<----8<----8<----8<----8<----8<----8<----8<----8<----8<jose wrote: > > > ho notato che poteva trattarsi di problema di permessi e proprietario > > no, root non ha _mai_ di questi problemi (ha la capability per il > DAC_OVERRIDE a meno che usi sofisticate configurazioni, ma se ti fai di > queste domande evidentemente non sei in casi sofisticati) > > Queste cose pero` possono capitare se per qualche motivo (tipo > inconsistenza del filesystem in cui si trova /usr/bin/) la partizione e` > montata in read-only. Controlla /proc/mounts (e /etc/fstab) > > On Thu, Jan 03, 2008 at 08:35:37PM +0100, Davide Prina wrote: > > >> però l'errore che ti da sembra davvero strano, sembra che cerchi di > >> creare un link prima di installare un binario. > > no, non e` per niente strano: da man dpkg > > 4. Unpack the new files, and at the same time back up the old > files, so that if > something goes wrong, they can be restored. > ----8<----8<----8<----8<----8<----8<----8<----8<----8<----8<----8< > > però se sei riuscito a rimuovere il pacchetto vuol dire che non c'è il > filesystem montato in read-only, ma potrebbe essere, come ti hanno fatto > notare, che il tuo server è stato compromesso > > > Infine, con chkrootkit ho notato anche che ci sono problemi nel senso > > che riporto l'outpout ripulito con grep: > > > debian:/salvadati/virus# cat test.txt | grep INF* > > Checking `ifconfig'... INFECTED > > Checking `pstree'... INFECTED > > > Infine riporto anche questo contenuto sempre nell'outpout di > > chkrootkit: > > > eth0: PACKET SNIFFER(/sbin/dhclient3[3362]) > > eth1: PACKET SNIFFER(/usr/sbin/dhcpd3[3626]) > > Di tutto questo che mi consigliate?????? Formatto tutto????? > > direi di si, sembra proprio che il sistema sia stato compromesso. > > Però la strategia migliore è quella di: > * staccare dalla rete il server > * cercare di capire da dove sono entrati (analizzando i log) > * fai girare anche rkhunter, magari ti fornisce qualche dettaglio in più > * salvarti i dati > * salva magari i pacchetti che hai installato per facilitare la > reinstallazione: "$ dpkg --get-selections > selections.txt" > * formatta e reinstalla tutto (usa "# dpkg --set-selections < > selections.txt" per reinstallare gli stessi pacchetti) > > Ciao > Davide > > -- > Dizionari:http://linguistico.sourceforge.net/wiki > Sistema operativo:http://www.it.debian.org > GNU/Linux User: 302090:http://counter.li.org > Non autorizzo la memorizzazione del mio indirizzo su outlook
Azzzz so proprio rovinato..... non c'è un modo per eliminare i trojan, malware, etc... senza reinstallare il tutto???? Ho poco tempo mannaggia... e proprio adesso non posso rifare il mio serverino che mi serve per lavoro. Grazie.... aspetto risposta