我刚刚清理了我被黑的 CentOS 服务器(由于自 versino 5.3 以来没有更新)。但是,“chkrootkit”仍然这样说:
Possible t0rn v8 \(or variation\) rootkit installed
/usr/lib/.libfipscheck.so.1.1.0.hmac
/usr/lib/.libgcrypt.so.11.hmac
/usr/lib/.libfipscheck.so.1.hmac
/lib/.libcrypto.so.0.9.8e.hmac
/lib/.libssl.so.0.9.8e.hmac
/lib/.libssl.so.6.hmac
/lib/.libcrypto.so.6.hmac
/usr/lib/perl5/site_perl/5.8.8/i386-linux-thread-multi/auto/Text/Iconv/.packlist
/usr/lib/perl5/5.8.8/i386-linux-thread-multi/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i386-linux-thread-multi/auto/HTML-Tree/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i386-linux-thread-multi/auto/Font/AFM/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i386-linux-thread-multi/auto/MLDBM/Sync/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i386-linux-thread-multi/auto/MLDBM/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i386-linux-thread-multi/auto/FreezeThaw/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i386-linux-thread-multi/auto/Apache/ASP/.packlist
/usr/lib/perl5/vendor_perl/5.8.8/i386-linux-thread-multi/auto/HTML-Format/.packlist
/usr/lib/gtk-2.0/immodules/.relocation-tag
/usr/lib/python2.4/plat-linux2/.relocation-tag
/usr/lib/python2.4/distutils/.relocation-tag
/usr/lib/python2.4/config/.relocation-tag
会不会是“chkrootkit”不喜欢.hmac、.packlist 和.relocation-tag 文件?
这些真的还感染吗?
我根本不相信“清理”受感染的服务器,并认为“从轨道发射核弹”选项是唯一的补救措施。
无论如何,确定这些文件是否合法的唯一方法是将这些文件的校验和与干净安装中已知良好文件的校验和进行比较,但我认为这些库文件名前面加上 a
.以将它们隐藏在正常情况下的事实ls是有足够的理由担心。来自 www.chkrootkit.org:
“问:chkrootkit 将一些文件和目录报告为可疑:.packlist、.cvsignore 等。这些显然是误报。你不能忽略这些吗?
答:忽略某些文件和目录可能会影响 chkrootkit 的准确性。攻击者可能会利用它,因为他知道 chkrootkit 会忽略某些文件和目录。”