Sply Splyeff (![[info]](http://l-stat.livejournal.com/img/userinfo.gif){kind=small} sply) wrote,@ 2009-06-06 16:01:00 |
|
do panic
Вчера был в тесном контакте с пушным зверем пол-ночи ловил хакеров. Заметил, что на несколькоих машинах часть системных файлов (/bin, /usr/bin, /lib) имеют размер чуть больше, чем в дистрибутиве, из которого они были установлены, при той же дате модификации. Начали уже планировать большую зачистку и реинсталляцию.
Поставил из дистрибутива несколько хонипотов, чтобы понять что и как происходит. Утром смотрю, файлы изменились. В tcpdump несколько портсканов, но безвредных. А файлы изменились.
Пошел смотреть, что у нас в кроне. Ага, а там есть ежедневный запуск скрипта с многообещающим названием. Так я открыл для себя prelink, линуксовскую фишку для ускорения старта программ и увеличении эффективности кол-ва shareble memory. Который для этого меняет код в ELFовских исполняемых файлах и библиотеках.
Какие блин прыжки с парашютом, когда тут адреналин в больших количествах и бесплатно.
Вчера был в тесном контакте с пушным зверем пол-ночи ловил хакеров. Заметил, что на несколькоих машинах часть системных файлов (/bin, /usr/bin, /lib) имеют размер чуть больше, чем в дистрибутиве, из которого они были установлены, при той же дате модификации. Начали уже планировать большую зачистку и реинсталляцию.
Поставил из дистрибутива несколько хонипотов, чтобы понять что и как происходит. Утром смотрю, файлы изменились. В tcpdump несколько портсканов, но безвредных. А файлы изменились.
Пошел смотреть, что у нас в кроне. Ага, а там есть ежедневный запуск скрипта с многообещающим названием. Так я открыл для себя prelink, линуксовскую фишку для ускорения старта программ и увеличении эффективности кол-ва shareble memory. Который для этого меняет код в ELFовских исполняемых файлах и библиотеках.
Какие блин прыжки с парашютом, когда тут адреналин в больших количествах и бесплатно.
