Подозреваемый руткит, что мне делать?
Я унаследовал сервер Ubuntu 12.4 и хочу проверить его на наличие руткитов / модификаций. Есть ли способ протестировать все исполняемые / библиотечные файлы на предмет модификации (проверить, установлены ли в настоящее время установленные файлы точно так же, как файлы из репозитория)
Поскольку этот сервер работает долгое время, такие инструменты, как tripwire, не имеют смысла и я уже использовал rkhunter и вручную проверил все файлы конфигурации, и все они выглядят нормально, проблема в том, что что-то спрятано в исполняемых файлах ядра / модулей / модифицированных (clamav ничего не нашел).
любые предложения приветствуются
1 ответ
Или рассмотрите OSSSEC HIDS или некоторую другую систему IDS/IPS в Вашей сети или новую переустановку сервера.
, Если у Вас нет известного хорошего сканирования rkhunter или подобный для базирования сравнения от, пытаясь определить, есть ли у Вас корневой набор, почти невозможно, не контролируя трафик в Вашей сети и таком для определения проникновений (и это было бы Фырканьем, или OSSSEC HIDS как комментарии говорят). Тогда наблюдая выходные события, какой триггер даст Вам общее представление, если вредоносные или корневые наборы будут там и пытающийся проверить с помощью ping-запросов к в другом месте.
, Если Вы подозреваете корневой набор, хотя, можно хотеть только запуститься снова, но если тот сервер очень важен для всех процессов работы тогда, необходимо рассмотреть то, что другие проблемы могли существовать и ли стоимость потенциальной дыры в системе безопасности или нарушения, там приемлемо для Вас или организации, по сравнению со стоимостью времени простоя, в то время как Вы переустанавливаете сервер, переустанавливаете сервисы, откладываете данные по, и т.д.