我正在考虑使用 git 将我的整个 linux 服务器置于版本控制之下。其背后的原因是这可能是检测恶意修改/rootkit 的最简单方法。我天真地认为检查系统的完整性是必要的:每周使用救援系统挂载 linux 分区,检查 git 存储库是否仍然未调整,然后发出 git status 以检测对系统所做的任何更改.
除了明显的磁盘空间浪费外,还有其他负面影响吗?
这是一个完全疯狂的想法吗?
它甚至是检查 rootkit 的安全方法,因为我很可能至少必须排除 /dev 和 /proc 吗?
我在其中一台服务器的 ac: 磁盘的根目录上随机创建了一些病毒文件。我怎样才能知道是什么创造了它?也许是一些第三方软件?
当一台服务器被扎根(如情况是这样),第一件事情,你可能会决定做一个遏制。一些安全专家建议不要立即进行修复,并在取证完成之前保持服务器在线。这些建议通常是针对APT 的。如果您偶尔遇到Script Kiddie漏洞,情况就不同了,因此您可能决定及早进行补救(修复)。修复的步骤之一是遏制服务器。引用Robert Moir 的回答——“将受害者与其抢劫者断开联系”。
可以通过拉网线或电源线来容纳服务器。
哪种方法更好?
考虑到需要:
编辑:5个假设
假设:
如果 Linux 服务器以极低的安全策略(r/w 匿名 Samba 文件夹、具有默认管理员密码的 Firebird 数据库服务器、没有防火墙等)暴露在互联网上一周,那么我如何确保系统是没有完全格式化和重新安装就不会受到损害,只能通过 SSH 远程访问它?
来自公开可信来源的rootkit 检测和/或删除工具列表:
名称、供应商、最新版本
RootkitRevealer,Sysinternals,2006 年 11 月 1 日
Rootkit的Unhooker,ep_x0ff(现为微软根据工作Rootkit.com),2007年12月
F-Secure Blacklight , F-Secure, 未知
GMER , GMER, 2009 年 3 月
Microsoft 恶意软件删除工具,Microsoft,2009 年 4 月
IceSword,未知,2005 年 9 月
请将您知道的任何可信工具添加到列表中。
所以,我们在办公室托管了一个地理服务网络服务器。
显然有人闯入了这个盒子(可能是通过 ftp 或 ssh),并放入了某种 irc 管理的 rootkit 东西。
现在我正在尝试清理整个事情,我找到了试图通过 irc 连接的进程 pid,但我无法弄清楚谁是调用进程(已经用 ps、pstree、lsof 看过)该进程是一个 perl www 用户拥有的脚本,但 ps aux |grep 在最后一列显示假文件路径。
是否有另一种方法来跟踪该 pid 并捕获调用者?
忘了说:内核是2.6.23,可以利用成为root,但是我不能太接触这台机器,所以我不能升级内核
编辑:lsof 可能有帮助:
lsof -p 9481
命令 PID 用户 FD 类型设备大小节点名称 ss
perl 9481 www cwd DIR 8,2 608 2 /ss
perl 9481 www rtd DIR 8,2 608 2 /ss
perl 9481 www, txt 2838usr /s斌/ perl5.8.8ss
perl的WWW 9481 REG MEM 8,2 135348 23286 /lib64/ld-2.5.soss
perl的WWW 9481 REG MEM 8,2 103711 23295 /lib64/libnsl-2.5.soss
perl的WWW 9481 …
我有一个可能是 rootkit 的系统(安装了 IRC bot 并且在 /usr/bin、/usr/sbin、/bin、/sbin 上设置了 +ai 属性)。IRC bot 被删除,系统从 4.0 升级到 5.0.4。恐怕我提到的文件夹中的某些内容已被修改。我无法重新安装盒子,那么有什么方法可以检查系统的完整性吗?我已经检查了 rkhunter 和 chrootkit。
ifconfig 告诉 eth0 一些 RX = 2,8GB, TX = 1,3GB 值不可能是真实的,因为我最近通过 eth0 传输了许多 10GB+ 文件。我想知道
这是一个愚蠢的问题,但这种差异让我感到困扰。
谢谢你,尼尔斯
在用户的笔记本电脑(Windows 7 x64)上,糟糕的性能让我在排除几乎所有其他功能后怀疑是 rootkit。我使用 Autoruns 检查了引导条目,并使用 Malwarebytes 进行了全面扫描,两者都或多或少是干净的。我下载了 RKR,解压缩,以管理员身份运行,但它打不开。我打开任务管理器检查并尝试重新打开程序。有时甚至不会显示该过程。有时它会在列出固定数量的内存的情况下显示约 10 秒,然后死亡。有一次,我得到了 Sysinternals 许可协议,但在那之后它就消失了。尝试重命名 EXE,没有骰子。试过安全模式,没有骰子。
我还没有做的一件事是检查事件日志,我可能应该这样做。除此之外,还有什么机制可能会导致 RKR 无法启动?或者我的系统是否可能受到损害,需要从轨道上发射核武器?