入侵者試圖在我的盒子上安裝 rootkit。我想在重新安裝之前將其恢復。如何替換攻擊者安裝的無效檔案?我不能 chown 或 rm 它們。它在 rm、chown、mv 或類似命令上顯示“不允許操作”。我正在運行 Debian sarge。
編輯:chattr 顯示一些標誌(s、i 和 a),但刪除它們沒有幫助。再次編輯:我的錯,抱歉,chattr 確實有效。我不知道我看到了。
答案1
首先嘗試“chattr”該檔案和/或該檔案所在的目錄。
另外,如果是 rootkit,最好進行全新安裝(一個朋友被“rootkited”,並且令人討厭的程式碼位於“ls”二進位檔案中,並在每個“ls”處執行)。
稍後:在第二個步驟中,您應該嘗試啟動 LiveCD / LiveUSB ,安裝該分割區並編輯/掃描它。
答案2
在這種情況下,重新安裝是適當的操作。一旦盒子受到這樣的損害,它就不再是值得信賴的安裝。即使你「認為」你已經把它清理乾淨了。
我將使用 dd 或許多免費磁碟映像選項之一製作磁碟的副本,以便您可以對其進行一些取證並檢索您需要的任何資料。然後我會重新安裝並從已知良好的備份中恢復您的資料。希望在取證中您可以找出攻擊者是如何進入的,並採取措施確保類似情況不再發生。
答案3
文件有一些通常不會顯示的“隱藏權限”。其中之一稱為不可變的甚至可以防止 root 修改文件。
這查特爾命令可用於設定/清除不可變標誌,允許正常刪除檔案。
答案4
如果有 rootkit 阻礙您編輯系統文件,那麼您可能需要從 Live CD(實際的不可寫 CD)啟動,這樣您就可以安裝損壞的(已 root 的)文件系統並使用管理軟體從 Live CD 軟體修復問題。
或者,更有可能的是,您應該從 Live CD 啟動並將所需的檔案還原到備份介質,然後再進行完全重新安裝。如果您已經獲得 root 權限,那麼一切都是可疑的 - 完全重新安裝是明智的。
您還應該檢查哪些漏洞允許您獲得 root 權限 - 因為如果您不更改某些內容(正確的內容),攻擊者可以再次插入他們的 rootkit。