artvolk Asked: 2010-03-19 22:45:36 +0800 CST2010-03-19 22:45:36 +0800 CST 2010-03-19 22:45:36 +0800 CST 在可能的 rootkit 之后检查 Debian 系统的完整性? 772 我有一个可能被 rootkited 的系统(安装了 IRC bot 并且在 /usr/bin、/usr/sbin、/bin、/sbin 上设置了 +ai 属性)。IRC 机器人被删除,系统从 4.0 升级到 5.0.4。恐怕我提到的文件夹中的某些内容已被修改。我无法重新安装盒子,那么有什么方法可以检查系统的完整性吗?我已经检查了 rkhunter 和 chrootkit。 debian rootkit 6 个回答 Voted Best Answer ptman 2010-03-19T23:17:12+08:002010-03-19T23:17:12+08:00 debsums,但它只会检查包安装的文件,它不能告诉你额外的文件。 Marco Ramos 2010-05-07T01:46:53+08:002010-05-07T01:46:53+08:00 当系统受到威胁时,您永远无法确定是否一切都已清理干净,最好的解决方案始终是重新安装系统,但您需要进行一些取证以防止这种情况再次发生。 chkrootkit 和 rkhunter 是很好的 rootkit 检查器,但它们并非无懈可击。 此外,从外部机器运行 nmap 并查看是否有一些您不期望的端口打开。 在检查受感染的二进制文件时,debsums 也是一个很好的帮助。 您是否知道黑客如何访问机器以及哪些服务易受攻击?特别关注那里(但不仅仅是那里)。查看该软件版本是否存在已知问题。检查文件系统中所有可能的日志。如果您有 mrtg 趋势应用程序(如 ganglia、munin 或 cacti),请检查它以了解可能的攻击时间范围。 您还应该考虑以下主题来检查您的机器: 关闭你不需要的服务 定期测试备份 遵循最小特权原则 更新您的服务,尤其是关于安全更新 不要使用默认凭据 Victor Pablos Ceruelo 2010-05-07T00:57:02+08:002010-05-07T00:57:02+08:00 使用 AIDE 怎么样? https://help.ubuntu.com/community/FileIntegrityAIDE Razique 2010-05-07T01:47:44+08:002010-05-07T01:47:44+08:00 在 debian 下有很棒的工具:chkrootkit aptitude install chkrootkit :) Odo Poppinger 2019-12-05T12:27:25+08:002019-12-05T12:27:25+08:00 为此类任务发明了一个理想的工具:debcheckroot 它比较每个文件的 sha256sum,因此它不会错过 rootkit。请注意,chkrootkit并且rkhunter已知不会检测来自 NSA 等西方情报机构的政府恶意软件。结果也以比debsums. Elmar Stellnberger 2022-09-05T12:55:05+08:002022-09-05T12:55:05+08:00 您需要了解一个权威工具:debcheckroot [1]。它甚至被法国国防部使用(参见 Sylvain Sécherre,debian-security May 2022)。该工具相对于 chkrootkit 或 rkhunter 的明确优势在于,它还可以通过将文件 sha256sum 与安装媒体或在线存储库上的原始文件进行比较来发现未知的 rootkit。[https://www.elstel.org/debcheckroot/][1]
debsums,但它只会检查包安装的文件,它不能告诉你额外的文件。
当系统受到威胁时,您永远无法确定是否一切都已清理干净,最好的解决方案始终是重新安装系统,但您需要进行一些取证以防止这种情况再次发生。
chkrootkit 和 rkhunter 是很好的 rootkit 检查器,但它们并非无懈可击。
此外,从外部机器运行 nmap 并查看是否有一些您不期望的端口打开。
在检查受感染的二进制文件时,debsums 也是一个很好的帮助。
您是否知道黑客如何访问机器以及哪些服务易受攻击?特别关注那里(但不仅仅是那里)。查看该软件版本是否存在已知问题。检查文件系统中所有可能的日志。如果您有 mrtg 趋势应用程序(如 ganglia、munin 或 cacti),请检查它以了解可能的攻击时间范围。
您还应该考虑以下主题来检查您的机器:
关闭你不需要的服务
定期测试备份
遵循最小特权原则
更新您的服务,尤其是关于安全更新
不要使用默认凭据
使用 AIDE 怎么样?
https://help.ubuntu.com/community/FileIntegrityAIDE
在 debian 下有很棒的工具:chkrootkit
为此类任务发明了一个理想的工具:debcheckroot
它比较每个文件的 sha256sum,因此它不会错过 rootkit。请注意,
chkrootkit并且rkhunter已知不会检测来自 NSA 等西方情报机构的政府恶意软件。结果也以比debsums.您需要了解一个权威工具:debcheckroot [1]。它甚至被法国国防部使用(参见 Sylvain Sécherre,debian-security May 2022)。该工具相对于 chkrootkit 或 rkhunter 的明确优势在于,它还可以通过将文件 sha256sum 与安装媒体或在线存储库上的原始文件进行比较来发现未知的 rootkit。[https://www.elstel.org/debcheckroot/][1]