server Hacked Ubuntu, probabilmente comandi hackerati (netstat, ps, ...), come sostituirli? [duplicare]

7

Un server Ubuntu della mia azienda è stato hackerato per eseguire un attacco DoS. Ho trovato che il bug shellshock non era stato risolto dai miei colleghi, e penso che sia il problema. Quindi, ho trovato un file ELF che invia migliaia di messaggi e lo script viene generato automaticamente da qualcosa. Anche se provo a rimuoverlo, esso crea di nuovo da solo usando un nuovo nome (in / boot, /etc/init.d). Inoltre, vedo che il comando netstat non mi mostra tutte le porte aperte reali. Forse il comando è stato sostituito? Come è possibile reinstallarlo?

    
posta roghan 28.11.2014 - 12:28
fonte

2 risposte

60

Dovresti "nuotare dall'orbita": cancella e reinstalla il sistema operativo e le applicazioni da un supporto di origine pulita, quindi attentamente ripristina i dati dal backup.

    
risposta data 28.11.2014 - 12:47
fonte
8

È sempre una questione di sforzo rispetto al risultato. Se un utente malintenzionato ha acquisito il controllo completo del sistema, ci sono migliaia di cose che possono essere sostituite o trojanizzate. Cacciarli uno ad uno è un compito molto che richiede tempo.

Se gli aggressori non sono molto sofisticati, puoi iniziare cercando i file che sono stati modificati di recente. Un punto di partenza è cercare i file sul tuo sistema che sono stati modificati per ultimi in / usr / bin e / sbin (dove si trovano la maggior parte dei comandi).

ls -ltr /usr/bin

Controlla cosa sta succedendo in / etc guardando i file che sono stati modificati negli ultimi 10 giorni:

find /etc -mtime -10

Questi sono i primi passi di base di e non riguardano i processi attualmente in esecuzione (e potenzialmente nascosti), che potrebbero nascondere eventuali modifiche recenti al sistema . Ecco perché questo può trasformarsi in un gioco di gatti e topo che può durare per settimane se ti manca un solo punto di accesso.

Sfortunatamente, la reinstallazione è l'opzione migliore: meno tempo e quasi un risultato garantito!

    
risposta data 28.11.2014 - 13:27
fonte

Leggi altre domande sui tag