我继承了 ubuntu 12.4 服务器,我想检查它是否存在可能的 rootkit/修改。有没有办法测试所有可执行文件/库文件是否被修改(测试当前安装的文件是否与存储库中的文件完全相同)
由于该服务器已经运行了很长时间,像 tripwire 这样的工具没有意义,我已经使用了 rkhunter 并手动测试了所有配置文件,它们看起来都正常,问题是如果在内核/模块/修改后的可执行文件中隐藏了某些东西(clamav 没有找到任何东西)。
欢迎提出任何建议
答案1
要么考虑使用 OSSSEC HIDS 或网络上的其他 IDS/IPS 系统,要么重新安装服务器。
除非您有已知的良好 rkhunter 扫描或类似工具作为比较的基础,否则如果不监控网络流量等来确定入侵情况(如评论中所述,Snort 或 OSSSEC HIDS),则几乎不可能确定您是否有 root kit。然后观察触发的输出事件,您将知道是否存在恶意软件或 root kit 并尝试 ping 到其他地方。
如果您怀疑有 root kit,您可能只想重新开始,但如果该服务器对于所有工作流程都至关重要,那么您需要考虑可能存在的其他问题,以及您或组织是否可以接受潜在安全漏洞或违规的成本,以及重新安装服务器、重新安装服务、恢复数据等期间的停机成本。