入侵者试图在我的机器上安装 rootkit。我想在重新安装之前找回它。如何替换攻击者安装的无效文件?我无法 chown 或 rm 它们。rm、chown、mv 或类似命令显示“操作不允许”。我正在运行 debian sarge。
编辑:chattr 显示了一些标志(s、i 和 a),但删除它们没有帮助。再次编辑:是我的错,抱歉,chattr 确实有效。我不知道我看到了什么。
答案1
首先尝试“chattr”该文件和/或该文件所在的目录。
此外,如果遇到 rootkit,最好进行全新安装(我的一个朋友被“rootkited”了,恶意代码存在于“ls”二进制文件中,并在每次“ls”时执行)。
后来:再想想,您应该尝试启动 LiveCD / LiveUSB,挂载该分区并编辑 / 扫描它。
答案2
在这种情况下,重新安装是适当的操作。一旦一个盒子被这样破坏,它就不再是一个值得信赖的安装。即使你“认为”你已经清理干净了。
我会使用 dd 或众多免费磁盘映像选项之一复制磁盘,以便您可以对其进行取证并检索所需的任何数据。然后我会重新安装并从已知良好的备份中恢复您的数据。希望在取证过程中您可以找出攻击者是如何进入的,并采取措施确保这种情况不会再次发生。
答案3
有一些“隐藏权限”通常不会显示在文件中。其中之一叫做不可变的甚至可以阻止 root 修改文件。
这聊天室命令可用于设置/清除不可变标志,允许文件被正常删除。
答案4
如果有 rootkit 阻碍您编辑系统文件,那么您可能需要从 Live CD(实际的、不可写的 CD)启动,这样您就可以挂载损坏的(已 root 的)文件系统并使用 Live CD 软件中的管理软件来解决问题。
或者,更可能的是,您应该从 Live CD 启动,并将所需的文件恢复到备份介质,然后再进行完全重新安装。如果您已获得 root 权限,那么一切都值得怀疑 - 完全重新安装是明智的。
您还应该检查一下哪些漏洞允许您获得 root 权限 - 因为如果您不更改某些内容(正确的内容),攻击者就可以再次插入他们的 rootkit。