silviot Asked: 2009-07-10 08:56:26 +0800 CST2009-07-10 08:56:26 +0800 CST 2009-07-10 08:56:26 +0800 CST 我的 linux 盒子被黑了。有些文件即使是 root 也无法删除。我该如何替换它们? 772 一个入侵者试图在我的盒子上安装一个 rootkit。我想要它回来,在重新安装之前。如何替换攻击者安装的无效文件?我不能 chown 或 rm 他们。它在 rm、chown、mv 或类似名称上显示“不允许操作”。我正在运行 debian sarge。 编辑:chattr 显示一些标志(s、i 和 a),但删除它们无济于事。再次编辑:我的错,对不起,chattr 确实有效。我不知道我看到了。 linux permissions hacking 4 个回答 Voted 3dinfluence 2009-07-10T09:07:00+08:002009-07-10T09:07:00+08:00 在这种情况下,重新安装是适当的操作。一旦一个盒子被这样破坏,它就不再是一个值得信赖的安装。即使你“认为”你已经把它清理干净了。 我会使用 dd 或许多可用的磁盘映像选项之一制作磁盘副本,以便您可以对其进行取证并检索您需要的任何数据。然后我会重新安装并从已知的良好备份中恢复您的数据。希望在取证中,您可以找出攻击者是如何进入的,并采取措施确保它不会再次发生。 Best Answer adrians 2009-07-10T09:00:54+08:002009-07-10T09:00:54+08:00 首先尝试“聊天”该文件和/或该文件所在的目录。 此外,如果是 rootkit,最好是全新安装(一个朋友被“rootkited”,讨厌的代码位于“ls”二进制文件中,并在每个“ls”处执行)。 稍后:在第二次测试中,您应该尝试启动 LiveCD / LiveUSB ,安装该分区并对其进行编辑/扫描。 Brent 2009-07-10T09:25:29+08:002009-07-10T09:25:29+08:00 有一些通常不会为文件显示的“隐藏权限”。其中之一称为不可变,甚至可以防止 root 修改文件。 chattr命令可用于设置/清除不可变标志,允许正常删除文件。 Jonathan Leffler 2009-07-10T09:06:59+08:002009-07-10T09:06:59+08:00 如果有 rootkit 阻碍您编辑系统文件,那么您可能需要从 Live CD(实际的、不可写的 CD)启动,以便您可以挂载损坏的(根)文件系统并使用管理软件从 Live CD 软件,解决问题。 或者,更有可能的是,在完全重新安装之前,您应该从 Live CD 启动并将所需的文件恢复到备份介质。如果您已经扎根,那么一切都是可疑的 - 完全重新安装是明智的。 您还应该查看哪些漏洞可以让您被植根 - 因为如果您不更改某些内容(正确的内容),攻击者可以再次插入他们的 rootkit。
在这种情况下,重新安装是适当的操作。一旦一个盒子被这样破坏,它就不再是一个值得信赖的安装。即使你“认为”你已经把它清理干净了。
我会使用 dd 或许多可用的磁盘映像选项之一制作磁盘副本,以便您可以对其进行取证并检索您需要的任何数据。然后我会重新安装并从已知的良好备份中恢复您的数据。希望在取证中,您可以找出攻击者是如何进入的,并采取措施确保它不会再次发生。
首先尝试“聊天”该文件和/或该文件所在的目录。
此外,如果是 rootkit,最好是全新安装(一个朋友被“rootkited”,讨厌的代码位于“ls”二进制文件中,并在每个“ls”处执行)。
稍后:在第二次测试中,您应该尝试启动 LiveCD / LiveUSB ,安装该分区并对其进行编辑/扫描。
有一些通常不会为文件显示的“隐藏权限”。其中之一称为不可变,甚至可以防止 root 修改文件。
chattr命令可用于设置/清除不可变标志,允许正常删除文件。
如果有 rootkit 阻碍您编辑系统文件,那么您可能需要从 Live CD(实际的、不可写的 CD)启动,以便您可以挂载损坏的(根)文件系统并使用管理软件从 Live CD 软件,解决问题。
或者,更有可能的是,在完全重新安装之前,您应该从 Live CD 启动并将所需的文件恢复到备份介质。如果您已经扎根,那么一切都是可疑的 - 完全重新安装是明智的。
您还应该查看哪些漏洞可以让您被植根 - 因为如果您不更改某些内容(正确的内容),攻击者可以再次插入他们的 rootkit。