可能存在 rootkit 之后是否检查 Debian 系统的完整性?

可能存在 rootkit 之后是否检查 Debian 系统的完整性?

我的系统可能被 rootkit 了(安装了 IRC 机器人,并在 /usr/bin、/usr/sbin、/bin、/sbin 上设置了 +ai 属性)。IRC 机器人已被删除,系统已从 4.0 升级到 5.0.4。我担心我提到的文件夹中的某些内容已被修改。我无法重新安装该机器,那么有什么方法可以检查系统的完整性吗?我已经检查了 rkhunter 和 chrootkit。

答案1

debsums,但它只会检查包安装的文件,它不能告诉您有关额外文件的信息。

答案2

当系统受到威胁时,您永远无法确定是否一切都已清理,最好的解决方案始终是重新安装系统,但您需要进行一些取证工作以防止再次发生这种情况。

chkrootkit 和 rkhunter 是优秀的 rootkit 检查器,但它们并不是万无一失的。

另外,从外部机器运行 nmap,看看是否有一些您意想不到的端口打开了。

在检查受损二进制文件时,debsums 也有很大帮助。

你知道黑客是如何进入机器的,以及哪些服务存在漏洞吗?特别关注那里(但不仅仅是那里)。看看该软件版本是否存在已知问题。检查文件系统中所有可能的日志。如果你有 mrtg 趋势应用程序(如 ganglia、munin 或 cacti),请检查它以了解攻击的可能时间范围。

您还应该考虑以下主题来检查您的机器:

  • 关闭不需要的服务

  • 定期测试备份

  • 遵循最小特权原则

  • 更新你的服务,尤其是安全更新

  • 不要使用默认凭据

答案3

答案4

有一种专为此类任务而发明的理想工具:验证根目录

它比较每个文件的 sha256sum,因此不会漏掉 rootkit。请注意,chkrootkitrkhunter无法检测到来自 NSA 等西方情报机构的政府恶意软件。结果也以比 更好、更易读的格式呈现debsums

相关内容