Rileva e rimuove rootkit da Debian 8.5 (x64)

Naviga le tue risposte
2

Il mio server Debian 8.5 (x64) è stato infettato da un rootkit, che ho rilevato utilizzando un CD live per visualizzare il contenuto di /tmp e /var/tmp .

Ho scoperto l'infezione osservando elevati carichi della CPU dovuti a un cryptominer.

Le directory precedenti contengono binari che ls non visualizza, quando il sistema è in esecuzione - Suppongo che la rookit stia intercettando le chiamate di sistema?

Ho già eseguito chkrootkit e lynis , ma senza risultati, tranne gli avvisi (modificati) su: 

kernel.core_uses_pid
kernel.dmesg_restrict
kernel.kptr_restrict
kernel.sysrq
kernel.yama.ptrace_scope

Voglio raggiungere:

  • Individua il rootkit.
  • Rimuovi il rootkit (se possibile).

Qualche suggerimento?

    
posta Shuzheng 23.06.2018 - 14:56
fonte

1 risposta

1

Il modo migliore per identificare realmente se si dispone di un rootkit è eseguire un'analisi forense. Ma prima di tutto: assicurati di avere e aggiornato il backup.

Se vedi i file "offline" con il liveCD, e non con il normale sistema in esecuzione, forse hanno alcuni hook del kernel. Per verificare questo punto, è possibile compilare busybox con flag statico in un altro computer, quindi verificare se i risultati con il sistema ls e busybox ls sono diversi.

Solitamente i rootkit si nascondono dai comandi di sistema, puoi anche verificare il processo con system ps e busybox ps per vedere se ci sono differenze.

Infine, puoi utilizzare volatilità per analizzare un dump della memoria dal tuo sistema per vedere il processo che hai eseguito e scoprire quel rootkit.

    
risposta data 29.08.2018 - 20:28
fonte

Leggi altre domande sui tag

Sistema di accesso che utilizza la crittografia autenticata senza memorizzare la password dell'utente come accedere all'interfaccia web dello scanner arachni? [chiuso]