我每晚 3:04 运行 chkrootkit。一年多来,它没有返回任何问题,但 1 个月前,这个警告开始出现:
=======================
Checking `lkm'... You have 1 process hidden for readdir command
You have 1 process hidden for ps command
chkproc: Warning: Possible LKM Trojan installed
=======================
现在我每小时运行一次 chkrootkit
3:02
3:03
3:04
3:05
其他时间没有警告,但 chkrootkit 每周 2-3 次在 3:02 或 3:04 返回此警告。1 分钟后的下一次扫描不会返回此警告。有任何想法吗?为什么这个警告会在凌晨 3 点出现?有什么方法可以运行 chkrootkit 以便它显示有关隐藏进程的更多信息?
是的,我知道有很多文章说这可能是误报,但为什么这个警告开始如此频繁地出现?
Rkhunter、Clamav、LFD/CSF 未报告服务器上的任何问题。
我认为这里的任何人都不可能正确地找出您的系统出了什么问题,除非我们可以直接访问。
您可以假设这是误报,而这正是最有可能的情况。根据我的经验,我也遇到过奇怪的误报,经过一番调查后,我满意地向自己证实这确实是误报。出于完全合法的原因,某些进程可以对 ps 命令隐藏。而且往往是短暂的。
但是,如果您想确定可以执行以下操作。我知道这有点极端,可能根本不适用于您的情况,但我不能确定这一点,这是您需要做出的决定。
我个人从Securing Debian Manual中汲取了很多关于在这种情况和其他情况下该怎么做的智慧,特别是在您的情况下,请检查第 11 章 - 妥协之后
一般建议是首先从网络上拔下受感染的系统,然后备份系统。然后进行更多调查。这应该是一个单独的活动,并且不需要妨碍恢复系统。尝试找出它是如何被破坏的是一个好主意。
与此同时,完全擦除系统,从无可疑的只读源(例如 DVD)重新安装操作系统,并仅从备份中恢复您可以确定未受感染的数据。如果此类数据包含在存储库中,则只需从那里检索它而不是备份。
假设系统及其备份上的任何文件都是可疑的,并尽可能尝试在不从备份复制文件的情况下恢复它。只需重复您所做的操作、复制粘贴文本等即可恢复配置文件。
| 归档时间: |
|
| 查看次数: |
6018 次 |
| 最近记录: |