Проверить целостность системы Debian после возможного руткита?

debsums, но он будет проверять только файлы, установленные пакетами, он не может сказать вам о дополнительных файлах.

Когда система скомпрометирована, вы никогда не уверены, все ли было очищено, и лучшим решением всегда является переустановка системы, но вам нужно провести некоторую криминалистику, чтобы это не повторилось.

chkrootkit и rkhunter - хорошие средства проверки руткитов, но они не являются надежными.

Также запустите nmap с внешнего компьютера и посмотрите, открыт ли какой-нибудь порт, которого вы не ожидаете.

debsums также является хорошим подспорьем при проверке скомпрометированных двоичных файлов.

А у вас есть идеи, как хакер получил доступ к машине и какая служба оказалась уязвимой? Фокус особенно там (но не только там). Посмотрите, есть ли известные проблемы с этой версией программного обеспечения. Проверьте все возможные журналы в вашей файловой системе. Если у вас есть приложение для отслеживания тенденций mrtg (например, ganglia, munin или cacti), проверьте его, чтобы узнать возможные временные рамки атаки.

Вам также следует проверить свою машину, учитывая следующие темы:

• закрой услуги, которые тебе не нужны

• тестовое резервное копирование на регулярной основе

• следуйте принципу наименьших привилегий

• обновите свои услуги, особенно в отношении обновлений безопасности

• не используйте учетные данные по умолчанию

А как насчет использования AIDE?

https://help.ubuntu.com/community/FileIntegrityAIDE

под debian есть замечательный инструмент: chkrootkit

aptitude install chkrootkit :)

Для такого рода задач изобретен идеальный инструмент: debcheckroot

Он сравнивает sha256sum каждого файла и поэтому не пропускает руткиты. Быть в курсе, что chkrootkit и rkhunter известно, что они не обнаруживают правительственное вредоносное ПО от западных спецслужб, таких как АНБ. Результаты также представлены в более удобном и удобочитаемом формате, чем debsums.