我有一个可能已经rootk的系统(安装了IRC bot,在/ usr / bin,/ usr / sbin,/ bin,/ sbin上设置了+ ai属性)。 IRC机器人被删除,系统从4.0升级到5.0.4。 恐怕我提到的文件夹中的某些内容已被修改。 我不能重新安装盒子,那么有什么办法来检查系统的完整性吗? 我已经检查过rkhunter和chrootkit。
debsums,但它只会检查由软件包安装的文件,它不能告诉你有关额外的文件。
当一个系统被破坏时,你不能确定是否所有的东西都被清除了,最好的解决scheme总是重新安装系统,但是你需要做一些取证来防止这种情况再次发生。
chkrootkit和rkhunter是很好的rootkit检查程序,但是它们不是不可靠的。
另外,从外部机器运行nmap,看看是否有一个端口打开,你不期望。
在检查受损的二进制文件时,debsums也是一个很好的帮助。
你有什么想法,黑客如何访问机器,哪些服务是脆弱的? 特别关注那里(但不仅仅是那里)。 看看是否有该软件版本的已知问题。 检查你的文件系统中的每一个可能的日志。 如果你有一个mrtg趋势的应用程序(如神经节,munin或仙人掌)检查它的攻击可能的时间框架。
您还应该考虑以下主题来查看您的机器:
closures你不需要的服务
定期testing备份
遵循最小特权原则
让您的服务更新,特别是关于安全更新
不要使用默认的凭据
在debian下有一个很棒的工具:chkrootkit
aptitude install chkrootkit :)