入侵者试图在我的盒子上安装rootkit。 在重新安装之前,我需要它。 如何replace攻击者安装的无效文件? 我不能吹嘘他们。 它说rm,chown,mv或类似的“操作不允许”。 我正在运行debian sarge。
编辑:chattr显示一些标志(s,我和a),但删除它们没有帮助。 再次编辑:我的错,对不起,chattr工作。 我不知道我看到了。
首先尝试“聊天”文件和/或文件所在的目录。
而且,在rootkit的情况下,最好是一个干净的安装(一个朋友被“rootkited”和恶意代码骗在“ls”二进制文件中,并在每个“ls”执行)。
稍后:再次尝试启动LiveCD / LiveUSB,装载该分区并编辑/扫描它。
在这种情况下重新安装是适当的行动。 一旦盒子受到损害,就不再是可靠的安装了。 即使你“认为”你已经清理了。
我会使用dd或其中一个免费的磁盘映像选项来创build磁盘的副本,以便您可以对其进行取证并检索所需的任何数据。 然后,我会重新安装并从一个已知的良好的备份恢复您的数据。 希望在取证方面你可以找出攻击者是如何进入的,并采取措施确保它不会再发生。
有一些“隐藏的权限”,通常不会显示文件。 其中之一被称为不可变,并防止甚至根修改文件。
chattr命令可以用来设置/清除不可变标志,允许文件被正常删除。
如果有rootkit妨碍您编辑系统文件,那么您可能需要从Live CD(一个实际的,不可写入的CD)启动,这样您就可以挂载已损坏(已启动)的文件系统并使用pipe理软件从Live CD软件中解决问题。
或者更可能的是,您应该从Live CD启动,并在完成重新安装之前将所需的文件恢复到备份介质。 如果你已经扎根,那么一切都是可疑的 – 完全重新安装是明智的。
您还应该查看哪些漏洞可以让您生根发芽 – 因为如果您不改变某些东西(正确的东西),攻击者可以再次插入rootkit。