<div dir="ltr">Typically when i come across a machine that I believe has been compromised the first thing i do is remove it from the network completely.. If possible i boot it up in finnex or a similar utility tool and then i run clam av via command line after mounting the drives manually.. Next i personally only grab files that are of text nature and to ensure that nothing else maybe attached i use the cat command to display the text of example conf files and then copy and past them into an editor of your choice.. Personally i use Notepad ++ on my windows machine for each one of the files re saving them on my machine.. If I was to guess you were probably root kitted this is common these days however its usually difficult to find the root kits while in the os.. Tools like Finnex are nice because your no longer in that os and generally speaking can search hidden files a little easier.. Still not going to be fun.. What i would recommend in the future is to setup your node the way you want it then clonezilla it or reimage it and store it in a safe spot.. This way if you run into this issue in the future your back up and running in short order..  Just my 2 cents..<div class="gmail_extra"><br clear="all"><div><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div style="font-size:small;font-family:arial">Loren Tedford (KC9ZHV) </div><div style="font-size:small;font-family:arial">Phone:</div><div style="font-size:small"><font face="arial">Fax: </font><br><font face="arial">Email: </font><a href="mailto:lorentedford@gmail.com" style="color:rgb(17,85,204);font-family:arial" target="_blank">lorentedford@gmail.com</a></div><div style="font-size:small">Email: <a href="mailto:KC9ZHV@KC9ZHV.com" style="color:rgb(17,85,204)" target="_blank">KC9ZHV@KC9ZHV.com</a></div><div style="font-size:small;font-family:arial"><a href="http://www.lorentedford.com/" style="color:rgb(17,85,204)" target="_blank">http://www.lorentedford.com</a></div><div style="font-size:small;font-family:arial"><a href="http://www.kc9zhv.com/" style="color:rgb(17,85,204)" target="_blank">http://www.kc9zhv.com</a></div><div style="font-size:small;font-family:arial"><a href="http://forum.kc9zhv.com/" style="color:rgb(17,85,204)" target="_blank">http://forum.kc9zhv.com</a></div><div style="font-size:small;font-family:arial"><a href="http://hub.kc9zhv.com/" style="color:rgb(17,85,204)" target="_blank">http://hub.kc9zhv.com</a></div><div style="font-size:small"><a href="http://ltcraft.net/" style="color:rgb(17,85,204)" target="_blank">http://Ltcraft.net<span></span><span></span></a></div><div style="font-size:small"><a href="http://voipham.com" target="_blank">http://voipham.com</a></div></div></div></div></div></div>
<br><div class="gmail_quote">On Fri, Jun 16, 2017 at 8:06 AM, DuaneVT . <span dir="ltr"><<a href="mailto:selkie2@comcast.net" target="_blank">selkie2@comcast.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div style="font-family:comic sans ms,sans-serif;font-size:small">I have copied my entire /etc/asterisk folder. When I re-image the hard drive, how best to restore the custom conf files..</div><div style="font-family:comic sans ms,sans-serif;font-size:small">The question is how best to maintain configs for a possible re-image. </div><div style="font-family:comic sans ms,sans-serif;font-size:small">There is a "include custom" statement at the bottom of most conf files. Exactly what is expected as a custom conf? The entire config, but with user changes? Does the template conf run and then the exact same customized conf file? This has not been explained in much detail.</div><div style="font-family:comic sans ms,sans-serif;font-size:small"><br></div><div style="font-family:comic sans ms,sans-serif;font-size:small">I COULD copy the ENTIRE SD contents after any ssh change, but that MIGHT also capture any hacked-but-dormant changes.</div><div style="font-family:comic sans ms,sans-serif;font-size:small"><br></div><div style="font-family:comic sans ms,sans-serif;font-size:small">More experienced administrator comments are appreciated.</div><div style="font-family:comic sans ms,sans-serif;font-size:small">73,</div><div style="font-family:comic sans ms,sans-serif;font-size:small">Duane KA1LM</div></div>
<br>______________________________<wbr>_________________<br>
App_rpt-users mailing list<br>
<a href="mailto:App_rpt-users@lists.allstarlink.org">App_rpt-users@lists.<wbr>allstarlink.org</a><br>
<a href="http://lists.allstarlink.org/cgi-bin/mailman/listinfo/app_rpt-users" rel="noreferrer" target="_blank">http://lists.allstarlink.org/<wbr>cgi-bin/mailman/listinfo/app_<wbr>rpt-users</a><br>
<br>
To unsubscribe from this list please visit <a href="http://lists.allstarlink.org/cgi-bin/mailman/listinfo/app_rpt-users" rel="noreferrer" target="_blank">http://lists.allstarlink.org/<wbr>cgi-bin/mailman/listinfo/app_<wbr>rpt-users</a> and scroll down to the bottom of the page. Enter your email address and press the "Unsubscribe or edit options button"<br>
You do not need a password to unsubscribe, you can do it via email confirmation. If you have trouble unsubscribing, please send a message to the list detailing the problem. <br></blockquote></div><br></div></div>