我的系统可能被 rootkit 了(安装了 IRC 机器人,并在 /usr/bin、/usr/sbin、/bin、/sbin 上设置了 +ai 属性)。IRC 机器人已被删除,系统已从 4.0 升级到 5.0.4。我担心我提到的文件夹中的某些内容已被修改。我无法重新安装该机器,那么有什么方法可以检查系统的完整性吗?我已经检查了 rkhunter 和 chrootkit。
答案1
debsums,但它只会检查包安装的文件,它不能告诉您有关额外文件的信息。
答案2
当系统受到威胁时,您永远无法确定是否一切都已清理,最好的解决方案始终是重新安装系统,但您需要进行一些取证工作以防止再次发生这种情况。
chkrootkit 和 rkhunter 是优秀的 rootkit 检查器,但它们并不是万无一失的。
另外,从外部机器运行 nmap,看看是否有一些您意想不到的端口打开了。
在检查受损二进制文件时,debsums 也有很大帮助。
你知道黑客是如何进入机器的,以及哪些服务存在漏洞吗?特别关注那里(但不仅仅是那里)。看看该软件版本是否存在已知问题。检查文件系统中所有可能的日志。如果你有 mrtg 趋势应用程序(如 ganglia、munin 或 cacti),请检查它以了解攻击的可能时间范围。
您还应该考虑以下主题来检查您的机器:
关闭不需要的服务
定期测试备份
遵循最小特权原则
更新你的服务,尤其是安全更新
不要使用默认凭据
答案3
那么使用 AIDE 怎么样?
答案4
有一种专为此类任务而发明的理想工具:验证根目录
它比较每个文件的 sha256sum,因此不会漏掉 rootkit。请注意,chkrootkit
和rkhunter
无法检测到来自 NSA 等西方情报机构的政府恶意软件。结果也以比 更好、更易读的格式呈现debsums
。