sslug-teknik team mailing list archive

Thread
Date

Re: Linux Virus: linux.rst.b

To: sslug-teknik@xxxxxxxx
From: Henrik "Størner" <henrik@xxxxxxx>
Date: Fri, 5 Dec 2008 09:46:15 +0000 (UTC)
Delivered-to: mailing list sslug-teknik@xxxxxxxx
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm
Newsgroups: sslug.teknik
Organization: Linux Users Inc.
User-agent: nn/6.7.3

In <A50D0C676241F34AB7F938220D586E00017706BC@xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx> "Torben Andersen" <Torben.Andersen@xxxxxxxxxxxxxxxxxx> writes:

>Hvad g=F8r man, n=E5r man er inficeret p=E5 en Linux maskine, der k=F8rer pr=
>oduktion??

>Vores firmas virus alarm gik i gang, da jeg overf=F8rte noget custom sw fra=
> en produktionsmaskine til et netv=E6rksdrev. Det drejer sig om virussen lin=
>ux.rst.b. Den har tilsyneladende ikke v=E6ret aktiveret, idet ingen andre fi=
>ler er inficeret.

Der er et udmærkert write-up af hvad den virus gør på 
http://www.symantec.com/security_response/writeup.jsp?docid=2004-052312-2729-99&tabid=2

Hvis du har scannet Linux maskinen (der findes virus-scannere til 
Linux), og den ikke har spredt sig til andre filer, så er der vel 
ikke den store grund til panik. Det lader til at en forholdsvis 
enkel måde at se om maskinen er inficeret alvorligt er om "ifconfig"
viser interfaces i promiscuous mode (der vil stå PROMISC mellem 
de forskellige flag for interfacet - "UP", "MULTICAST" osv).

Hvis den *er* inficeret er det nok i gang med en re-install fra
distributions-medier.

Henrik

Follow ups

RE: Linux Virus: linux.rst.b
From: Torben Andersen, 2008-12-05

References

Linux Virus: linux.rst.b
From: Torben Andersen, 2008-12-05