藍色情懷

1. 先至 ftp.tnc.edu.tw/pub/Security 下載 lionfind-0.1.tar.gz
tar xvzf lionfind*.gz 之後, cd lionfind-0.1
執行 ./lionfind, 若發現 /dev/.lib 表示已經受到感染.

2. 砍除 /dev/.lib 目錄(及其它 lionfind 找到的目錄).

3. 編輯 /etc/inetd.conf, 只留下 ftp, pop3, telnet 等, 拿掉:
10008 stream tcp nowait root /bin/sh sh
1008 stream tcp nowait root /bin/sh sh
等被植設的 port 通道設定

然後
/etc/rc.d/init.d/inet restart
(請先 ps auxw 找出 star.sh 等的 pid, 然後 kill 它們)


4. 砍掉 /tmp 中不明的遺留檔, 如 ramen.tgz


也要砍除 t0rn 及 tfn :

find / -name t0rn -exec rm -f {} \;
find / -name tfn -exec rm -f {} \;

尋找可疑的 suid 檔案:

find / -perm +4000 -print | more

lion worm 通常會在 /usr/man/man1/???????/.lib 中放
置 .x 的 suid 程式, 請務必要砍除之.





5. 拿掉 /etc/rc.d/rc.sysinit 中, 關於 star.sh
的部份

6. 將相同版本的光碟 mount 上來
重新安裝以下套件:

mount /mnt/cdrom
cd /mnt/cdrom/RedHat/RPMS

rpm -Uvh --force procps*.rpm
rpm -Uvh --force fileutils*.rpm
rpm -Uvh --force net-tools*.rpm
rpm -Uvh --force telnet*.rpm
rpm -Uvh --force util-linux*.rpm
rpm -Uvh --force finger*.rpm
rpm -Uvh --force findutils*.rpm
rpm -Uvh --force psmisc*.rpm

7. 更新 bind 版本至少 8.2.3 以上
ftp ftp.tnc.edu.tw
cd pub/Sysop/DNS
get bind*.rpm
bye

rpm -Uvh bind*.rpm

8. ftp 至 linux.sinica.edu.tw/redhat/updates
中, 將該更新的套件一併更新

rpm -Fvh 應該更新的套件*.rpm

9. 重設 /etc/hosts.deny 及 hosts.allow

10. 重新開機

11. 用 nmap 自己掃一下, 是否只剩正常的 port 通道.

nmap -p 1-65534 localhost

12. 用 lsof | grep LISTEN 查一下開放的服務及檔案相關性如何? 是否正常?


13. 持續觀察是否有異常情形.


把 root 密碼及重要的帳號密碼一併更換吧. 


14. 避免用 telnet, 儘量用 ssh2 及 sftp2

註:

網管工作重點在於維護主機持續安全而穩定的運作!
而非只是製作花俏的網站.

換言之, 網管的成就感來自於主機長期安全地運作而不當機不受破壞.
唯有如此, 才能給予校園網路一個安全而有序的基石. 
至於 content 的建置, 未必是網管責任.

把心力花費在刀口上吧! 請隨時注意安全資訊, 經常觀察主機的運作, 適時更新修補套件.

各位也要設法把校園防火牆建置起來, 但並非建置防火牆之後便可高枕無憂!

網路的安全在於網管努力的維護, 而非全靠設備.