我有一个可能是 rootkit 的系统(安装了 IRC bot 并且在 /usr/bin、/usr/sbin、/bin、/sbin 上设置了 +ai 属性)。IRC bot 被删除,系统从 4.0 升级到 5.0.4。恐怕我提到的文件夹中的某些内容已被修改。我无法重新安装盒子,那么有什么方法可以检查系统的完整性吗?我已经检查了 rkhunter 和 chrootkit。
debsums,但它只会检查包安装的文件,它不能告诉你额外的文件。
当系统受到威胁时,您永远无法确定所有内容是否都已清除,最好的解决方案始终是重新安装系统,但您需要进行一些取证以防止再次发生这种情况。
chkrootkit 和 rkhunter 是很好的 rootkit 检查器,但它们并非无懈可击。
此外,从外部机器运行 nmap 并查看是否打开了一些您不期望的端口。
在检查受感染的二进制文件时,debsums 也是一个很好的帮助。
您是否知道黑客如何访问机器以及哪些服务易受攻击?特别关注那里(但不仅限于那里)。查看该软件版本是否存在已知问题。检查文件系统中所有可能的日志。如果您有 mrtg 趋势应用程序(如 ganglia、munin 或 cacti),请检查它的可能的攻击时间范围。
您还应该考虑以下主题来检查您的机器:
关闭你不需要的服务
定期测试备份
遵循最小特权原则
更新您的服务,尤其是关于安全更新
不要使用默认凭据
| 归档时间: |
|
| 查看次数: |
6982 次 |
| 最近记录: |