三个问题希望有人能帮忙解答:
我正在运行 CentOS 6,LEMP 堆栈
sup*_*ami 36
我如何知道我的服务器是否已经由于 Shellshock 错误而受到威胁?
你没有。这就是安全漏洞的概念。如果你必须点击让饼干进来?确定/取消它不会是一个很大的漏洞。
您可能会很幸运地检查攻击向量的日志,但鉴于如此多的服务易受攻击且并非所有服务都记录每次访问,因此可能无法最终找到攻击。
如果它被入侵,是否有一个特定的文件夹我应该在其中查找恶意文件?
不,恶意文件可能在任何地方。
常见的 Rootkit 将自身安装在/root或/或/tmp或其中一个二进制路径中,但实际上它们可以位于任何地方。它们可能具有类似于真实服务的名称或类似“ IPTables”或“ kernel-bin”的“重要”名称,但它们也可以是随机字符串或与真正二进制文件相同的名称(只是在不同的路径中)。您可以发现一个非常明显的 rootkit 正在加载/etc/rc.local或通过netstat -neopa. 在top -c.
一个不太常见且更难找到的 rootkit 会替换一个库或将自身加载为一个 shim 库并拦截系统调用。这几乎是不可能找到的,除非您跟踪/跟踪系统上运行的每一件事,并将行为与已知良好系统或源代码的预期行为进行比较。
重新加载系统会更快、更容易、更有说服力。
恶意文件是什么样子的?
可能像任何其他常规 ELF 二进制文件或库一样。它也可能是一个脚本。
总之,如果您认为您的系统有可能遭到入侵,请将系统视为已遭到入侵并采取必要措施。
Mik*_*ike 21
shellshock 不是蠕虫,因此无需查找文件。Shellshock 是一种攻击网络以进入的方法。一旦进入,谁知道攻击者会做什么。
| 归档时间: |
|
| 查看次数: |
10565 次 |
| 最近记录: |