Злоумышленник пытался установить руткит на мой компьютер. Я хочу вернуть его, перед переустановкой. Как заменить недействительные файлы, установленные злоумышленником? Я не могу выполнить chown или rm для них. Пишет «Операция не разрешена» на rm, chown, mv или подобных. Я использую Debian Sarge.
Редактировать: chattr показывает некоторые флаги (s, i и a), но их удаление не помогает. Редактировать снова: моя вина, извините, chattr работал. Я не знаю, я видел.
решение1
Сначала попробуйте «chattr» эти файлы и/или каталоги, в которых они находятся.
Кроме того, в случае руткита лучше сделать чистую установку (у моего друга был «руткит», и вредоносный код находился в двоичном файле «ls» и выполнялся при каждом «ls»).
Позже: во второй раз подумайте, стоит ли вам попробовать загрузить LiveCD / LiveUSB, смонтировать этот раздел и отредактировать / просканировать его.
решение2
В этом случае переустановка — это подходящее действие. После того, как ящик был скомпрометирован таким образом, он больше не является надежной установкой. Даже если вы «думаете», что вы его очистили.
Я бы сделал копию диска с помощью dd или одного из многочисленных бесплатных вариантов создания образа диска, чтобы вы могли провести экспертизу и извлечь любые необходимые данные. Затем я бы переустановил и восстановил ваши данные из заведомо исправной резервной копии. Надеюсь, в ходе экспертизы вы сможете выяснить, как злоумышленник проник, и принять меры, чтобы убедиться, что это не повторится.
решение3
Есть некоторые "скрытые разрешения", которые обычно не отображаются для файлов. Одно из них называетсянеизменныйи не позволяет даже пользователю root изменять файл.
Theчаттркоманду можно использовать для установки/снятия флага неизменяемости, что позволит удалить файл как обычно.
решение4
Если редактированию системных файлов препятствует руткит, то вам, вероятно, следует загрузиться с Live CD (настоящего, неперезаписываемого CD), чтобы затем можно было смонтировать сломанную (рутированную) файловую систему и работать с административным программным обеспечением из программного обеспечения Live CD, устраняя проблемы.
Или, что более вероятно, вам следует загрузиться с Live CD и восстановить нужные файлы на резервный носитель, прежде чем делать полную переустановку. Если вы были рутированы, то все подозрительно - полная переустановка разумна.
Вам также следует проверить, какая уязвимость позволила вам получить root-доступ, поскольку если вы что-то не измените (не измените правильно), злоумышленник сможет снова установить свой руткит.