← Back to team overview

sslug-teknik team mailing list archive

Re: Linux Virus: linux.rst.b

 

In <A50D0C676241F34AB7F938220D586E00017706BC@xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx> "Torben Andersen" <Torben.Andersen@xxxxxxxxxxxxxxxxxx> writes:

>Hvad g=F8r man, n=E5r man er inficeret p=E5 en Linux maskine, der k=F8rer pr=
>oduktion??

>Vores firmas virus alarm gik i gang, da jeg overf=F8rte noget custom sw fra=
> en produktionsmaskine til et netv=E6rksdrev. Det drejer sig om virussen lin=
>ux.rst.b. Den har tilsyneladende ikke v=E6ret aktiveret, idet ingen andre fi=
>ler er inficeret.

Der er et udmærkert write-up af hvad den virus gør på 
http://www.symantec.com/security_response/writeup.jsp?docid=2004-052312-2729-99&tabid=2

Hvis du har scannet Linux maskinen (der findes virus-scannere til 
Linux), og den ikke har spredt sig til andre filer, så er der vel 
ikke den store grund til panik. Det lader til at en forholdsvis 
enkel måde at se om maskinen er inficeret alvorligt er om "ifconfig"
viser interfaces i promiscuous mode (der vil stå PROMISC mellem 
de forskellige flag for interfacet - "UP", "MULTICAST" osv).

Hvis den *er* inficeret er det nok i gang med en re-install fra
distributions-medier.


Henrik



Follow ups

References