Um intruso tentou instalar um rootkit na minha máquina. Quero-o de volta, antes da reinstalação. Como substituo arquivos inválidos instalados pelo invasor? Não consigo chown ou rm neles. Diz "Operação não permitida" em rm, chown, mv ou similar. Estou executando o debian sarge.
Editar: chattr mostra alguns sinalizadores (s, i e a), mas removê-los não ajuda. Edite novamente: culpa minha, desculpe, o chattr funcionou. Não sei, eu vi.
Responder1
Primeiro tente "chattr" esses arquivos e/ou os diretórios onde esses arquivos estão localizados.
Além disso, no caso de um rootkit, é melhor uma instalação limpa (um amigo foi "rootkitado" e o código desagradável estava no binário "ls" e era executado a cada "ls").
Mais tarde: pensando bem, você deve tentar inicializar um LiveCD / LiveUSB, montar essa partição e editá-la / digitalizá-la.
Responder2
A reinstalação é a ação apropriada neste caso. Depois que uma caixa é comprometida dessa forma, ela não é mais uma instalação confiável. Mesmo se você "pensar" que está limpo.
Eu faria uma cópia do disco usando dd ou uma das muitas opções gratuitas de imagem de disco disponíveis para que você possa fazer uma análise forense e recuperar todos os dados necessários. Em seguida, eu reinstalaria e restauraria seus dados a partir de um backup em bom estado. Esperançosamente, na perícia você poderá descobrir como o invasor entrou e tomar medidas para garantir que isso não aconteça novamente.
Responder3
Existem algumas "permissões ocultas" que normalmente não são mostradas para arquivos. Um deles é chamadoimutávele evita que até mesmo o root modifique um arquivo.
Obate-papoO comando pode ser usado para definir/limpar o sinalizador imutável, permitindo que o arquivo seja excluído normalmente.
Responder4
Se houver um rootkit obstruindo a edição dos arquivos do sistema, você provavelmente precisará inicializar a partir de um Live CD (um CD real não gravável), para poder montar o sistema de arquivos quebrado (com root) e trabalhar com o software administrativo do software Live CD, corrigindo os problemas.
Ou, mais provavelmente, você deve inicializar a partir do Live CD e recuperar os arquivos necessários para uma mídia de backup, antes de fazer uma reinstalação completa. Se você fez root, tudo é suspeito - uma reinstalação completa é sensata.
Você também deve revisar qual vulnerabilidade permitiu que você fizesse o root - porque se você não mudar alguma coisa (a coisa correta), o invasor poderá inserir seu rootkit novamente.