Trovare una backdoor su un server?

5

Diciamo che assumo qualcuno (freelance), per il lavoro dell'IT su un server Ubuntu. Il server ha un buon firewall, eseguo clamav, chkrootkit e amp; rkhunter esegue una scansione settimanale e cerco di mantenere buone pratiche.

Il fatto è che, se sospetto che abbia installato qualche backdoor sulla macchina, come lo cercheresti? Ha avuto accesso root e molto tempo, quindi ...

So che questo tema è stato discusso in precedenza, ma la maggior parte erano teorici piuttosto che risposte pratiche.

NOTA: Questo è su un server remoto, quindi non sono in grado di fare analisi basate sull'hardware.

    
posta Agustín Covarrubias 08.06.2016 - 02:59
fonte

2 risposte

6

Per espandere il punto di @ tlng05, gli autori di rootkit sono professionisti, spesso con decenni di esperienza. A meno che tu non abbia decenni di esperienza nella lotta contro i rootkit, allora sapranno di più nascondigli di te: P

Se sospetti che ci sia un rootkit, allora la tua unica scelta è cancellare il sistema. Questo è un classico esempio di riflesso di Ken Thompson sulla fiducia nella fiducia " devi fidarti delle persone, perché non troverai mai l'exploit ".

La prossima volta ti suggerisco di essere più severo su chi autorizzi l'accesso come root.

    
risposta data 08.06.2016 - 04:39
fonte
1

Questo dipende molto dalla complessità dell'attacco. Se si tratta di una semplice backdoor, hai la possibilità di trovare / eliminare la backdoor con il seguente metodo:

1.

netstat -antp

cerca la porta / programma di invio e ricorda il pid + ip.

2.

lsof -p <the pid>

guarda gli stampi che stanno mostrando. (Questi sono i file utilizzati dal processo di invio)

3.

  • Prova a eliminare questi file
  • Blocca l'IP tramite. iptables ( tutorial )
  • Cambia password di tutti i tuoi utenti
  • Pray

Nota, questo è NON un modo garantito per rimuovere la backdoor. Come tlng05 già menzionato, il metodo più sicuro sarebbe quello di eseguire il backup dei file importanti e pulire il sistema completo. (Consiglio vivamente di farlo anche tu)

    
risposta data 08.06.2016 - 08:34
fonte

Leggi altre domande sui tag