Ein Eindringling hat versucht, ein Rootkit auf meiner Box zu installieren. Ich möchte es zurückhaben, bevor ich es neu installiere. Wie ersetze ich ungültige Dateien, die der Angreifer installiert hat? Ich kann sie nicht mit chown oder rm ausführen. Auf rm, chown, mv oder ähnlichem wird „Operation nicht zulässig“ angezeigt. Ich verwende Debian Sarge.
Bearbeiten: Chattr zeigt einige Flags (s, i und a) an, aber das Entfernen dieser Flags hilft nicht. Nochmals bearbeiten: mein Fehler, tut mir leid, Chattr hat funktioniert. Ich weiß nicht, ob ich es gesehen habe.
Antwort1
Versuchen Sie zunächst, diese Dateien und/oder die Verzeichnisse, in denen sich diese Dateien befinden, mit „chattr“ zu versehen.
Auch im Falle eines Rootkits ist eine Neuinstallation besser (ein Freund wurde per Rootkit infiziert und der bösartige Code befand sich in der Binärdatei „ls“ und wurde bei jedem „ls“ ausgeführt).
Später: Bei einem zweiten Gedanken sollten Sie versuchen, eine LiveCD/ein LiveUSB zu booten, diese Partition zu mounten und sie zu bearbeiten/scannen.
Antwort2
In diesem Fall ist eine Neuinstallation die geeignete Maßnahme. Sobald eine Box auf diese Weise kompromittiert wurde, handelt es sich nicht mehr um eine vertrauenswürdige Installation. Selbst wenn Sie „denken“, dass Sie sie bereinigt haben.
Ich würde mit dd oder einer der vielen kostenlosen Disk-Imaging-Optionen eine Kopie der Festplatte erstellen, damit Sie sie forensisch untersuchen und alle benötigten Daten abrufen können. Dann würde ich Ihre Daten aus einem zweifelsohne funktionierenden Backup neu installieren und wiederherstellen. Hoffentlich können Sie mithilfe der Forensik herausfinden, wie der Angreifer eingedrungen ist, und Maßnahmen ergreifen, um sicherzustellen, dass dies nicht noch einmal passiert.
Antwort3
Es gibt einige "versteckte Berechtigungen", die normalerweise nicht für Dateien angezeigt werden. Eine davon heißtunveränderlichund verhindert, dass sogar Root eine Datei ändert.
DerchattrMit dem Befehl „Unveränderlich“ kann das Flag „Unveränderlich“ gesetzt/gelöscht werden, sodass die Datei wie gewohnt gelöscht werden kann.
Antwort4
Wenn ein Rootkit Sie daran hindert, die Systemdateien zu bearbeiten, müssen Sie wahrscheinlich von einer Live-CD (einer echten, nicht beschreibbaren CD) booten, damit Sie anschließend das beschädigte (gerootete) Dateisystem mounten und mit der Verwaltungssoftware der Live-CD-Software arbeiten und so die Probleme beheben können.
Oder, was wahrscheinlicher ist, Sie sollten von der Live-CD booten und die benötigten Dateien auf einem Sicherungsmedium wiederherstellen, bevor Sie eine vollständige Neuinstallation durchführen. Wenn Sie gerootet sind, ist alles verdächtig – eine vollständige Neuinstallation ist sinnvoll.
Sie sollten auch überprüfen, welche Sicherheitslücke zum Rooten Ihres Computers geführt hat. Denn wenn Sie nichts (das Richtige) ändern, kann der Angreifer sein Rootkit erneut einfügen.