Извините за длинный пост, но, пожалуйста, потерпите меня.
Мне интересно, не взломана ли моя система. В прошлом у меня были проблемы на этом сервере виртуальной машины с Linux.BackDoor.Gates.5 Троянец, атакующий другие серверы. У меня есть несколько резервных копий виртуальной машины в разные моменты времени, и я пытался выяснить, когда могло произойти вторжение (на этой виртуальной машине нет реальных конфиденциальных данных, и ее нет в нашей сети, поэтому я чувствую себя нормально, делая это таким образом ).
Первые несколько резервных копий будут систематически заражены вышеупомянутым трояном, даже если они не были изначально заражены. А затем я вернулся к резервной копии, которая казалась чистой, и с тех пор внимательно за ней следил. (PS: я менял пароль при каждом восстановлении)
Сегодня Рхюнтер обнаружил, что /usr/bin/wget
и /usr/bin/killall
были изменены их права доступа с 0755 на 0777. Запуск ls -lct
на этих файлах показано последнее изменение файла примерно за два часа до того, как я вошел в систему (6:48 утра). Вот шаги, которые я сделал:
Я понимаю, что журналы могут быть изменены в скомпрометированной системе, поэтому я не пойду на них на 100%
chkrootkit отправил предупреждение на SucKIT руткит. Я проверил первые два пункта, упомянутые в эта почта
Руткит SucKIT позволяет злоумышленнику скрыть вредоносные файлы, задав им определенный конец. Текущий злоумышленник скрывает код, заканчивающийся на xrk или mem. Чтобы проверить наличие руткита, создайте файл с именем, оканчивающимся на xrk или mem, затем выполните команду «ls -l». Если файлы, которые вы только что создали, не отображаются в выводе ls, это означает, что руткит их скрывает, т.е. ваша система скомпрометирована и ее необходимо восстановить.
Измените каталоги на / sbin и выполните «ls -l init» - счетчик ссылок должен быть 1. Создайте жесткую ссылку на init с помощью ln, а затем снова выполните «ls -l init». Если количество ссылок по-прежнему равно 1, руткит SK установлен.
Системы с root-доступом отправляют имена пользователей и пароли на другие скомпрометированные машины через TCP-порт 55, поэтому, если вы ведете учет сетевых подключений, трафик на порт назначения TCP / 55 заслуживает дальнейшего изучения.
Первые два - отрицательные, указывающие на ложное срабатывание. Я не проверял порт 55, так как не знаю, как поступить лучше всего.
Я углубился в это и проверил следующее:
strings /sbin/init | grep HOME
возвращается XDG_CACHE_HOME
и XDG_CONFIG_HOME
и sudo cat /proc/1/maps | grep init
возвращается
7f396c089000-7f396c0c7000 r-xp 00000000 08:01 6553666 /sbin/init
7f396c2c7000-7f396c2c9000 r--p 0003e000 08:01 6553666 /sbin/init
7f396c2c9000-7f396c2ca000 rw-p 00040000 08:01 6553666 /sbin/init
Итак, строка HOME запускает chkrootkit. Не знаю, следует ли этого ожидать. Опять же, у меня есть те же данные в моей справочной системе, поэтому я думаю, что это ложное срабатывание.
Вы, ребята, знаете, что я могу проверить, чтобы убедиться, что изменение прав доступа к файлу действительно является ложным срабатыванием или нет? заранее спасибо.