sslug-teknik team mailing list archive

[Jon Bendtsen <bendtsen@xxxxxxx>]

Den 31. dec 2004, kl. 14:01, skrev Preben Bohn:

> Efter nu at have siddet og rodet med at "afinstallere" Santy-ormen og 
> dens efterladenskaber, er jeg nu kommer til et punkt hvor jeg tror at 
> jeg bliver nødt til at geninstallere hele systemet... :-(
>
> Jeg havde ellers en backup fra 12/12, men det ser ud til at denne også 
> er kontamineret... Inden jeg tager skridtet, vil jeg dog lige høre:
>
> Jeg har stoppet alle de "store" ting (apache, zope, postfix, 
> courier-imap, ntp), men alligevel får jeg følgende i min router-log 
> (routeren sidder direkte på ADSL'en, og NAT'er ting igennem til min 
> server på 192.168.1.6):
>
> ...
> Friday, December 31, 2004 13:50:47 Unallowed access from 
> 192.168.1.6:80 to 66.249.64.66:55761 protocol=6 rule=-1
> Friday, December 31, 2004 13:50:47 Unallowed access from 
> 192.168.1.6:80 to 66.249.64.28:55845 protocol=6 rule=-1
> Friday, December 31, 2004 13:50:53 Unallowed access from 
> 192.168.1.6:80 to 66.249.64.66:55761 protocol=6 rule=-1
> Friday, December 31, 2004 13:50:56 Unallowed access from 
> 192.168.1.6:80 ...
>
> Jeg går ud fra at dette betyder at jeg stadig har "noget" liggende, 
> som jeg simpelthen ikke kan finde?

Jeg tror det er i kernen.

stop disken, pil den ud, og mount den read only et andet sted. med 
non-executeable flaget sat.

Derefter tager du din kerne configurations fil, og compiler den på en 
anden maskine
i samme udgave som du har downloadet på ny. Så sammenligner du 
simpelthen de
2 kerner, og evt. moduler. Hvis der er en forskel er kernen inficeret. 
Hvis ikke bliver
kernen nok inficeret med et modul ved load.

Check også lilo, samt ps, ls, rm, ...