Linux 工作站:如何知道它是否已经被 root?

Linux 工作站:如何知道它是否已经被 root?

我正在我的 Linux“工作站”上工作(它没有声音,我既不在上面玩游戏,也不看任何电影:它纯粹是一台工作机器,因此我称它为我的“工作站”),突然发生了一件非常奇怪的事情。

我使用临时用户帐户(仅用于浏览)和 Iceweasel 浏览器浏览网页。我访问了一个明显试图安装恶意软件的网站(弹出虚假窗口,告知您的计算机已被感染等)。我在关闭这些网页时遇到了一些问题,最后只能 kill -9 来关闭浏览器。

然后第四个维度开始了:IP 自动更改为某个 169.xxx.xxx.xxx(我不记得具体是多少了)IP。但这不应该发生,因为那个工作站是一个静态 IP,我认为它是一成不变的。

我立即拔掉了以太网电缆(该工作站上没有 WiFi),并使用“ps auxf”查询正在运行的进程

我发现一些非常奇怪的进程正在运行:“uml 网络交换机”重启后(仍然没有插上电缆),我看到了“启动用户模式网络切换”服务消息。我从来没有安装过这个,而且我几乎确信这个东西之前并不存在。

我还发现了一些“免费桌面”正在运行某个任务。也从来没有安装过它。

我开始删除与 UML-thinggy 相关的包并重新启动(仍然拔掉了电缆)并且......“/usr/bin/uml_switch”(类似的东西)开始重新出现(尽管我检查过删除包后它已经不再存在了)。

到底是怎么回事?

这是否是某种特大混乱,某些自动 Debian 软件更新开始失控并自动安装我没有要求的软件包,造成了严重破坏,还是我只是被黑客入侵了?

你们有人知道我刚刚经历的是什么吗?

下一步是,以防万一,从已知良好的 CD/DVD ROM 在空白 HD 上全新安装新系统,对吗?

答案1

为了安全起见,您可以随时尝试扫描 rootkit,请参阅以下答案这个问题关于扫描计算机中的 rootkit 和恶意软件,请参阅 ServerFault 上的相关内容。请查看以下工具chkroot工具或者Rootkit 猎手扫描rootkit使用的默认文件、二进制文件的错误文件权限、LKM和KLD模块中的可疑字符串、隐藏文件等。

顺便说一句,仅供参考,当计算机无法访问 DHCP 服务器并且网卡未手动配置时,它可以使用链路本地地址。169.254/16 网络为此目的保留。从维基百科

另一种类型的私有网络使用 RFC 5735 和 RFC 3927 中编纂的链路本地地址范围。当动态主机配置协议 (DHCP) 服务不可用且不希望网络管理员进行手动配置时,这些地址的实用性在于由网络设备进行自我自动配置。

在 IPv4 中,块 169.254/16 为此目的保留,但该范围内的第一个和最后一个 /24 子网除外。如果 IEEE 802(以太网)网络上的主机无法通过 DHCP 获取网络地址,则可以伪随机分配从 169.254.1.0 到 169.254.254.255 的地址。标准规定必须妥善处理地址冲突。IPv6 寻址架构将块 fe80::/10 留作 IP 地址自动配置。

相关内容