Проверять целостность системы Debian после возможного руткита?
У меня есть система, которая, возможно, была руткитирована (бот IRC был установлен и атрибуты +ai были установлены в /usr/bin, /usr/sbin, /bin, /sbin). IRC-боты были удалены, и система была обновлена до 5.0.4 с 4.0. Боюсь, что что-то в упомянутых папках было изменено. Я не могу переустановить коробку, так есть ли способ проверить целостность системы? Я уже проверил rkhunter и chrootkit.
6 ответов
debsums, но он будет проверять только файлы, установленные пакетами, он не может сообщить вам о дополнительных файлах.
Когда система скомпрометирована, вы никогда не будете уверены, что все было очищено, и лучшее решение - это всегда переустановить систему, но вам нужно сделать некоторые экспертизы, чтобы предотвратить это снова.
chkrootkit и rkhunter - хорошие средства проверки руткитов, но они не являются непогрешимыми.
Кроме того, запустите nmap с внешнего компьютера и посмотрите, есть ли открытый порт, который вы не ожидаете.
Программа debsums также полезна при проверке скомпрометированных двоичных файлов.
И есть ли у вас идеи, как хакер получил доступ к машине и какой сервис был уязвим? Фокус особенно там (но не только там). Посмотрите, есть ли известные проблемы с этой версией программного обеспечения. Проверьте все возможные журналы в вашей файловой системе. Если у вас есть приложение для отслеживания mrtg (например, ganglia, munin или cacti), проверьте его на возможные временные рамки атаки.
Вы также должны проверить свою машину с учетом следующих тем:
закройте услуги, которые вам не нужны
регулярно проверяйте резервное копирование
следовать принципу наименьших привилегий
обновите свои услуги, особенно в отношении обновлений безопасности
не используйте учетные данные по умолчанию
Под debian есть офигенный инструмент: chkrootkit
aptitude install chkrootkit :)
Как насчет использования AIDE?
Для такого рода задач изобретен идеальный инструмент: debcheckroot.
Он сравнивает sha256sum каждого файла и поэтому не пропускает руткиты. Быть в курсе, что
chkrootkit и
rkhunterизвестно, что они не обнаруживают правительственное вредоносное ПО от западных спецслужб, таких как АНБ. Результаты также представлены в более удобном и удобочитаемом формате, чем
debsums.
Есть один универсальный инструмент, который вам нужно знать: debcheckroot [1]. Его даже использовало министерство обороны Франции (см. Сильвен Сешер, debian-security, май 2022 г.). Определенным преимуществом этого инструмента перед, скажем, chkrootkit или rkhunter является то, что он также может обнаруживать еще неизвестные руткиты, сравнивая суммы sha256 файлов с нетронутыми файлами на вашем установочном носителе или в онлайн-репозитории. [https://www.elstel.org/debcheckroot/][1]