Dotaz: Jak zjistim zda je server napojen do botnetu?

no je mozne ze tam bude treba nejaky rootkit, zkusil bych rkhunter, pozor ale na falesne pozitivni zpravy. Jednou jsem jej nainstaloval na hacknuty server a odhalil opravdu rootkit. Po instalaci je dobre spustit rkhunter s parametrem --propupdate, aby se aktualizoval na aktualni verzi distribuce. On kontroluje take systemove soubory, zdali se zmenily. Pote rkhunter -c pro kontrolu systemu. Pokud byl nejaky soubor zmenen nebo identifikuje skryty, je dobre se podivat, zdali to nenastalo upgradem balicku a nespustenim propupdate ci jestli to neni ta falesne pozitivni zprava treba detekovany skryty soubor neni soucasti standardni funkce systemu.

Pokud chcete mit ale 100% jistotu, je dobre test spustit nezavisle na systemu z nejakeho live CD, bohuzel s rkhunterem jsem to z live CD nezkousel, takze nemuzu zde napsat postup.

Pověsil bych se Wiresharkem/tcpdumpem a zkusil bych poslouchat. Zdroj informace by vám měl říct, jak na to přišel. Pokud tak, že mu tam někdo z toho serveru posílal spamy, tak poslouchat na portu 25; pokud někdo hackoval web, tak 80 atd.

Pozde bycha honit. Ted by bodla systemova zaloha a instalaci systemu obnovit.

Kazda rada draha.