侵入者が私のマシンにルートキットをインストールしようとしました。再インストールする前に、ルートキットを元に戻したいです。攻撃者がインストールした無効なファイルをどうやって置き換えたらいいでしょうか? chown や rm ができません。rm、chown、mv などのコマンドで「操作は許可されていません」と表示されます。私は debian sarge を実行しています。
編集: chattr はいくつかのフラグ (s、i、a) を表示しますが、それらを削除しても役に立ちません。再度編集: 私のミスです、申し訳ありません、chattr は機能していました。私が見たかどうかはわかりません。
答え1
まず、そのファイルやそのファイルが配置されているディレクトリを「chattr」してみます。
また、ルートキットの場合は、クリーン インストールの方が適しています (友人が「ルートキット化」され、悪質なコードが「ls」バイナリに埋め込まれ、すべての「ls」で実行されました)。
後ほど: もう一度考え直して、LiveCD / LiveUSB を起動し、そのパーティションをマウントして編集 / スキャンしてみる必要があります。
答え2
この場合、再インストールが適切な処置です。ボックスがこのように侵害されると、もはや信頼できるインストールではなくなります。たとえ「クリーンアップした」と思っていてもです。
dd または多くの無料ディスク イメージング オプションのいずれかを使用してディスクのコピーを作成し、フォレンジックを実行して必要なデータを取得できるようにします。その後、再インストールして、既知の正常なバックアップからデータを復元します。フォレンジックによって、攻撃者が侵入した方法を見つけ出し、再発しないように対策を講じることができることを願っています。
答え3
ファイルには、通常表示されない「隠し権限」がいくつかあります。そのうちの1つは不変ルートであってもファイルを変更することを防ぎます。
のチャットコマンドを使用して不変フラグを設定/クリアし、ファイルを通常どおり削除できるようにすることができます。
答え4
システム ファイルの編集を妨害するルートキットがある場合は、Live CD (実際の書き込み不可の CD) から起動して、壊れた (ルート化された) ファイル システムをマウントし、Live CD ソフトウェアから管理ソフトウェアを使用して問題を修正する必要があります。
あるいは、完全な再インストールを行う前に、Live CD から起動して必要なファイルをバックアップ メディアに復元する方がよいでしょう。ルート化されている場合は、すべてが疑わしいため、完全な再インストールが賢明です。
また、どの脆弱性によってルート化が可能になったかを確認する必要があります。何か (正しい何か) を変更しないと、攻撃者がルートキットを再度挿入できるためです。