我确信我的 SLES-11-SP3-Servers 在几天内都存在 shellshock 安全漏洞,因为我们内部网中的补丁服务器崩溃了,所以我当时无法修补它们。:-(
现在我正在寻找一种方法来检查已安装的软件包是否被修改,以确定服务器是否已被入侵。这是可行的方法吗?
感谢大家给我提供的建议。凯特
答案1
不幸的是,这不是一个可靠的检查。
聪明的攻击者不会更改软件包拥有的文件,而是将它们安装在其他地方。
您需要检查所有文件(使用类似tripwire的东西)——但现在这是不可能的,因为您没有一个好的参考点。
当然也可以通过 RPM 来验证包文件的状态,如下所示:
rpm -V bash
这将向您显示此包所拥有的文件是否被修改。
但正如我所说,这不应被视为服务器尚未受到攻击的迹象。
此检查仅在它告诉您确实已受到攻击时才有用。
出于上述原因,反之则不可信,因为 rpm 二进制文件可能已被篡改。