RootKit пролез через Veritas NetBackup
Если у вас стоит Linux, и вдруг ни с того ни с сего некоторые ключевые команды перестают работать:
# top
top: error while loading shared libraries: libncurses.so.4: cannot open shared object file: No such file or directory
То это АХТУНГ. Похоже вам впарили RootKit.
Вначале я конечно пытался правильно залинковать libncurses, пока не дошло что системный файл «top» а так же много других, были подменены.
А дело было так.
На сервер одного из моих клиентов по инициативе хостера был поставлен некий софт – «Veritas Netbackup«.
Спустя какое то время сервер крешнулся и после ребута начались чудеса. Команда «top» не работает, dmesg матерится на Hz и т.д. В остальном все вроде как работает. Покопавшись, с измулением обнаружил на сервере какую то версию RootKit. (ссылка в помощь – http://www.chkrootkit.org/).
Откуда на серваке взялся руткит, трудно было предположить. Левых сервисов взял за правило не держать. Но потом вспомнил что хостер ставил этот NetBackup и нашел в нем много уязвимостей.
При попытке почистить руткит по сети, процессы руткита отреагировали жестко и начали тушить мои процессы. Не долго думая, набрал команду «shutdown now» и отослал инструкции (с матюками) хостеру о загрузке с livecd.
Довольно много системных файлов было подменено и руткит довольно хорошо пролез в startup. По сему было принято решение о полном реинсталле системы.
Вывод: не стоит доверять софту хостера.
PS. Хостер довольно крупный и там хостится хз сколько серверов… И все потенциально затрояненые… Ужос нах.
