침입자가 내 컴퓨터에 루트킷을 설치하려고 했습니다. 재설치하기 전에 다시 돌려받고 싶습니다. 공격자가 설치한 유효하지 않은 파일을 어떻게 교체합니까? 나는 그것들을 깎거나 rm할 수 없습니다. rm, chown, mv 또는 이와 유사한 항목에 "작업이 허용되지 않습니다"라고 표시됩니다. 저는 데비안 sarge를 실행하고 있습니다.
편집: chattr에는 일부 플래그(s, i 및 a)가 표시되지만 제거해도 도움이 되지 않습니다. 다시 편집하세요. 내 잘못입니다. 죄송합니다. chattr이 작동했습니다. 내가 봤는지 모르겠어요.
답변1
먼저 해당 파일 및/또는 해당 파일이 있는 디렉터리를 "채팅"해 보십시오.
또한 루트킷의 경우 새로 설치하는 것이 더 좋습니다(친구가 "루트킷"을 당했고 불쾌한 코드가 "ls" 바이너리에 있고 매 "ls"마다 실행됨).
나중에: 두 번째로 어려운 경우 LiveCD/LiveUSB를 부팅하고 해당 파티션을 마운트한 다음 편집/스캔을 시도해야 합니다.
답변2
이 경우 재설치가 적절한 조치입니다. 일단 상자가 이렇게 손상되면 더 이상 신뢰할 수 있는 설치가 아닙니다. 비록 당신이 "생각"하더라도 당신은 그것을 정리한 것입니다.
dd를 사용하거나 시중에 나와 있는 많은 무료 디스크 이미징 옵션 중 하나를 사용하여 디스크 복사본을 만들어서 이에 대한 법의학을 수행하고 필요한 데이터를 검색할 수 있습니다. 그런 다음 알려진 양호한 백업에서 데이터를 다시 설치하고 복원하겠습니다. 포렌식을 통해 공격자가 어떻게 침입했는지 파악하고 이러한 일이 다시 발생하지 않도록 조치를 취할 수 있기를 바랍니다.
답변3
일반적으로 파일에 표시되지 않는 "숨겨진 권한"이 있습니다. 이 중 하나가 호출됩니다.불변루트조차도 파일을 수정하는 것을 방지합니다.
그만큼채팅명령을 사용하여 불변 플래그를 설정/삭제하여 파일을 정상적으로 삭제할 수 있습니다.
답변4
시스템 파일 편집을 방해하는 루트킷이 있는 경우 손상된(루팅된) 파일 시스템을 마운트하고 관리 소프트웨어로 작업할 수 있도록 Live CD(실제 쓰기 불가능한 CD)에서 부팅해야 할 수 있습니다. Live CD 소프트웨어에서 문제를 해결합니다.
또는 전체 재설치를 수행하기 전에 Live CD에서 부팅하고 필요한 파일을 백업 매체에 복구해야 할 가능성이 높습니다. 루팅된 경우 모든 것이 의심스럽습니다. 완전히 다시 설치하는 것이 합리적입니다.
또한 루팅을 허용한 취약점이 무엇인지 검토해야 합니다. 왜냐하면 무언가(올바른 것)를 변경하지 않으면 공격자가 루트킷을 다시 삽입할 수 있기 때문입니다.