Un intruso intentó instalar un rootkit en mi caja. Lo quiero de vuelta, antes de la reinstalación. ¿Cómo reemplazo los archivos no válidos instalados por el atacante? No puedo comerlos ni rmarlos. Dice "Operación no permitida" en rm, chown, mv o similar. Estoy ejecutando Debian Sarge.
Editar: chattr muestra algunas banderas (s, i y a) pero eliminarlas no ayuda. Editar de nuevo: culpa mía, lo siento, chattr funcionó. No sé, lo vi.
Respuesta1
Primero intente "chatear" con esos archivos y/o los directorios donde se encuentran esos archivos.
Además, en el caso de un rootkit, es mejor una instalación limpia (un amigo fue "rootkiteado" y el código desagradable estaba en el binario "ls" y se ejecutaba en cada "ls").
Más tarde: pensándolo bien, debería intentar iniciar un LiveCD/LiveUSB, montar esa partición y editarla/escanearla.
Respuesta2
La reinstalación es la acción adecuada en este caso. Una vez que una caja se ha visto comprometida de esa manera, ya no es una instalación confiable. Incluso si "crees" que lo tienes limpio.
Haría una copia del disco usando dd o una de las muchas opciones de imágenes de disco gratuitas que existen para que puedas hacer algunos análisis forenses y recuperar los datos que necesites. Luego reinstalaría y restauraría sus datos a partir de una copia de seguridad en buen estado. Con suerte, los análisis forenses podrán descubrir cómo entró el atacante y tomar medidas para asegurarse de que no vuelva a suceder.
Respuesta3
Hay algunos "permisos ocultos" que normalmente no se muestran para los archivos. Uno de estos se llamainmutablee impide que incluso el root modifique un archivo.
ElcharlarEl comando se puede utilizar para establecer/borrar el indicador inmutable, permitiendo que el archivo se elimine normalmente.
Respuesta4
Si hay un rootkit que obstruye la edición de los archivos del sistema, entonces probablemente necesite iniciar desde un Live CD (un CD real no grabable), para luego poder montar el sistema de archivos roto (rooteado) y trabajar con el software administrativo. desde el software Live CD, solucionando los problemas.
O, más probablemente, debería iniciar desde el Live CD y recuperar los archivos que necesita en un medio de respaldo, antes de realizar una reinstalación completa. Si has sido rooteado, entonces todo es sospechoso: una reinstalación completa es sensata.
También debes revisar qué vulnerabilidad te permitió ser rooteado, porque si no cambias algo (lo correcto), el atacante puede insertar su rootkit nuevamente.