假如一台 Linux 服务器暴露在互联网上并且安全策略极低(读写匿名 Samba 文件夹、使用默认管理员密码的 Firebird 数据库服务器、没有防火墙等)一周,那么我该如何确保系统不被入侵,而无需完全格式化和重新安装,只能通过 SSH 远程访问?
答案1
通常我建议使用以下工具进行本地检查chkroot工具但如果运行检查的唯一方法是远程进行,那么我建议您尝试Rootkit 猎手反而。
Rookit Hunter 通过运行以下测试来检查 rootkit 和其他此类活动(请参阅项目信息更多细节):
- MD5 哈希比较
- 查找 rootkit 使用的默认文件
- 二进制文件权限错误
- 在 LKM 和 KLD 模块中查找可疑字符串
- 查找隐藏文件
我想补充一点,正如其他人所说,确保你的服务没有被篡改的唯一可靠方法是重建它。这些工具效果很好,但并不能 100% 保证成功。
答案2
操作系统安全评估中心检查rootkit并检测可疑活动。
答案3
我知道这个答案不是你想听到的,但我们还是继续吧。有一些工具可以检查系统,确保系统干净的最佳方法是清除服务器并重建。我会做以下事情:
- 将计算机从互联网上移除
- 备份数据和配置信息以删除设备
- 格式化存储
- 重新安装基本/标准设置/更新
- 使用旧数据作为参考重新配置服务器
- 恢复用户数据
如果您还没有读过的话,这里有一些我建议您阅读的资源。
[1]:http://www.sans.org/reading_room/whitepapers/linux/linux-rootkits-beginners-prevention-removal_901“Linux Rootkit 初学者”
答案4
您确实需要积极主动。没有可靠的方法来检测机器上的 rootkit,因此您需要首先阻止它们进入机器,并找到在它们进入时检测它们的方法(例如通过绊线和锁定接口)。
如果您认为某台机器已被以任何方式利用,您确实需要重新安装 - 除了重新安装之外,没有其他保证可以清理它的方法。这是迄今为止最安全的选择。