sslug-teknik team mailing list archive

Thread
Date

Re: Linux Virus: linux.rst.b

To: sslug-teknik@xxxxxxxx
From: Kim Jensen <kimj@xxxxxxx>
Date: Fri, 05 Dec 2008 10:59:48 +0100
Delivered-to: mailing list sslug-teknik@xxxxxxxx
In-reply-to: <A50D0C676241F34AB7F938220D586E00017706BC@EUDUCEX2.europe.ad.flextronics.com>
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm
User-agent: Thunderbird 2.0.0.18 (X11/20081125)

Hejsa,

Torben Andersen wrote:

Hvad gør man, når man er inficeret på en Linux maskine, der kører produktion??

Generelt tager man maskinen ud af produktion ved at fjerne al eksternforbindelse til den (man bør først slukke/genstarte når man har sikretalle betydelige informationer) - derefter kan man i fred og ro analyseremaskinen. Dog er det en god idé at checke backups også.

Vores firmas virus alarm gik i gang, da jeg overførte noget custom sw fra en produktionsmaskine til et netværksdrev. Det drejer sig om virussen linux.rst.b. Den har tilsyneladende ikke været aktiveret, idet ingen andre filer er inficeret.

Såfremt ingen andre filer er inficerede (hvordan har du garanteret dette?), så er der ingen grund til alarm.

Umiddelbart vil jeg anvende distroens pakkesystem til at verificere alleinstallerede pakker (checksums).

Den ligger i en tekst fil, som jeg ikke tør "cat" eller noget andet.

Pak filen, gem den på en USB stick og undersøg den fra en computer derer startet via en live CD.


/Kim

--
"Good judgment comes from experience; experience comes from bad judgment."

Follow ups

Re: Linux Virus: linux.rst.b
From: Christian Joergensen, 2008-12-05

References

Linux Virus: linux.rst.b
From: Torben Andersen, 2008-12-05