server Hacked Ubuntu, probabilmente comandi hackerati (netstat, ps, ...), come sostituirli? [duplicare]

Question

server Hacked Ubuntu, probabilmente comandi hackerati (netstat, ps, ...), come sostituirli? [duplicare]

#1 da (60 voti)
#2 da (8 voti)

7

Un server Ubuntu della mia azienda è stato hackerato per eseguire un attacco DoS. Ho trovato che il bug shellshock non era stato risolto dai miei colleghi, e penso che sia il problema. Quindi, ho trovato un file ELF che invia migliaia di messaggi e lo script viene generato automaticamente da qualcosa. Anche se provo a rimuoverlo, esso crea di nuovo da solo usando un nuovo nome (in / boot, /etc/init.d). Inoltre, vedo che il comando netstat non mi mostra tutte le porte aperte reali. Forse il comando è stato sostituito? Come è possibile reinstallarlo?

linux bash ubuntu shellshock

posta roghan 28.11.2014 - 12:28

fonte

2 risposte

Leggi altre domande sui tag linux bash ubuntu shellshock

Codice di esempio di attraversamento della directory Come recuperare EFS Cert dal backup?

score 60 · Answer 1

60

Dovresti "nuotare dall'orbita": cancella e reinstalla il sistema operativo e le applicazioni da un supporto di origine pulita, quindi attentamente ripristina i dati dal backup.

risposta data 28.11.2014 - 12:47

fonte

score 8 · Answer 2

È sempre una questione di sforzo rispetto al risultato. Se un utente malintenzionato ha acquisito il controllo completo del sistema, ci sono migliaia di cose che possono essere sostituite o trojanizzate. Cacciarli uno ad uno è un compito molto che richiede tempo.

Se gli aggressori non sono molto sofisticati, puoi iniziare cercando i file che sono stati modificati di recente. Un punto di partenza è cercare i file sul tuo sistema che sono stati modificati per ultimi in / usr / bin e / sbin (dove si trovano la maggior parte dei comandi).

ls -ltr /usr/bin

Controlla cosa sta succedendo in / etc guardando i file che sono stati modificati negli ultimi 10 giorni:

find /etc -mtime -10

Questi sono i primi passi di base di e non riguardano i processi attualmente in esecuzione (e potenzialmente nascosti), che potrebbero nascondere eventuali modifiche recenti al sistema . Ecco perché questo può trasformarsi in un gioco di gatti e topo che può durare per settimane se ti manca un solo punto di accesso.

Sfortunatamente, la reinstallazione è l'opzione migliore: meno tempo e quasi un risultato garantito!