Come rimuovere i rootkit ssh? [duplicare]

Naviga le tue risposte
3

Ho controllato il mio server linux con rkhunter, ho ricevuto i seguenti messaggi di avviso,

...

[00:35:35] Found file '/usr/include/gpm2.h'. Possible rootkit: Trojaned SSH daemon

[00:35:35] Found file '/etc/rpm/sshdOLD'. Possible rootkit: Trojaned SSH daemon (original sshd binary)

[00:35:35] Found file '/etc/rpm/sshOLD'. Possible rootkit: Trojaned SSH daemon (original ssh binary)

...

[00:35:57] Found string '/usr/include/gpm2.h' in file '/usr/sbin/sshd'. Possible rootkit: Trojaned SSH daemon

[00:35:57] Found string '/usr/include/gpm2.h' in file '/usr/bin/ssh'. Possible rootkit: Trojaned SSH daemon

...

Dopo aver cercato su Google questi dettagli, ho capito che questi sono tutti rootkit SSH. Devo sapere come rimuovere queste cose dal server e renderlo sicuro (CentOS con accesso remoto SSH).

    
posta Kumar 12.07.2013 - 09:27
fonte

1 risposta

11

La rimozione? Dimenticalo. C'è un accesso root non autorizzato al tuo server; qualsiasi cosa avrebbe potuto essere installata ormai e non avresti alcun modo affidabile per rilevarla.

Anche per un esperto forense con accesso locale, ci vorrebbe molto tempo per controllare completamente un sistema per garantire che non vi sia traccia di malware esistente.

L'unico modo ragionevole e responsabile è di cancellare il disco e reinstallare / reimporre il sistema operativo da una fonte attendibile.

    
risposta data 12.07.2013 - 11:40
fonte

Leggi altre domande sui tag

Chrome OS consente l'esecuzione di file eseguibili? HTTPS è ancora protetto con un certificato server noto (chiave privata)?