我运行 Debian Stretch 机箱。我错误地忘记删除我为我的一个客人开设的客人帐户,我怀疑我的系统可能已被该帐户入侵。我不太确定,但我看到一些属于客人的进程占用了 CPU 时间 - 一些sshd和一个/sbin/syslogd实例(这让我有点害怕)。
因此,我终止了进程并删除了用户,这对我来说是件好事。但是 - 还应该做什么呢?在日志中查找一些具体的东西?重新安装软件包?从轨道上摧毁它?
答案1
这取决于对系统的信任程度。
从乐观的角度来看:
如果一切真的像您所说的那样发生。我不能说这个系统被入侵了。更确切地说,这是不必要的访问。只要入侵者无法获得 root 或其他特权用户访问权限。
至少你做的每件事都是正确的。
悲观的一面:
如果您怀疑并担心入侵者会提升权限(通过利用某些漏洞)并安装某种 rootkit。
任何受潜在受感染系统控制的审计都几乎无法获得信任。它只能寄希望于 rootkit 中的“漏洞”阻止其完美地隐藏自身。
当您从外部可启动媒体上的受信任系统启动或将驱动器连接到受信任系统时,最好完成重新安装系统或进行审核(通过与备份进行比较或通过包管理器验证或重新安装包)。
这样,我希望您能得到更详细的建议。
偏执的一面
如果 root 权限被破解,那么甚至 BIOS 或 IME 等集成管理都可以被控制,并在新的系统中再次安装 rootkit。