如何从rootkits / backdoors / botnets等检查Linux服务器是否干净？

如果Linux服务器以极低的安全策略（r / w匿名Samba文件夹，具有默认管理员密码的Firebird数据库服务器，没有防火墙等）暴露于互联网上一周，那么如何确保系统正常运行？没有完全格式化和重新安装就不会受到损害，只能通过SSH远程访问？

通常，我建议使用诸如chkrootkit之类的工具进行本地检查，但是如果唯一运行检查的方法是远程进行检查，则建议您尝试使用Rootkit Hunter。

Rookit Hunter通过运行以下测试来检查rootkit和其他此类活动（有关更多详细信息，请参阅项目信息）：

• MD5哈希比较
• 查找rootkit使用的默认文件
• 二进制文件的权限错误
• 在LKM和KLD模块中查找可疑的字符串
• 寻找隐藏文件

我想补充一点，正如其他人所说的那样，确保没有篡改您的服务的唯一肯定的方法就是重建它。这些工具运行良好，但并不是100％成功的保证。

OSSEC检查rootkit并检测可疑活动。

我知道这个答案不是您想听到的，但是无论如何我们还是要走。有一些工具可以检查系统，以确保系统干净，这是擦拭服务器并重建的最佳方法。我将执行以下操作：

• 从互联网上删除计算机
• 备份数据和配置信息以删除设备
• 格式储存
• 重新安装基本/标准设置/更新
• 使用旧数据作为参考重新配置服务器
• 恢复用户数据

如果您还没有阅读这些资源，我将开始阅读。

[链接文字] [1] 链接文字 链接文字 链接文字

[1]：http : //www.sans.org/reading_room/whitepapers/linux/linux-rootkits-beginners-prevention-removal_901 “ Linux Rootkits初学者”

同样不是您想要的答案，但是如果系统可能已植根，则很难100％确定系统是干净的。Rootkit被设计为难以检测。如果您运行各种根检查程序，并且检出了干净的磁盘，则“很可能”您的系统是干净的。

如果出于安全考虑，我会考虑按照上述说明重建它，或者从好的备份中恢复它。

您真的需要在这里积极主动。没有可靠的方法来检测机器上的Rootkit，因此您需要首先阻止它们到达那里，并找到一种在进入时对其进行检测的方法（例如，通过Tripwire和锁定接口）。

如果您认为某台计算机已被利用，则确实需要重新安装-没有保证的方法可以清除它，除非重新安装。到目前为止，最安全的选择。

RKhunter，Tripwire等功能很棒，但实际上只有在事件发生之前安装它们才有好处-这是因为它们非常适合检测密钥文件是否已更改。如果立即安装RKHunter并运行它，它将检测到许多rootkit的包含，但不会检测到攻击者在操作系统或您使用的应用程序中打开的任何后门。

例如，您可以潜入计算机，创建一个新用户，给他们SSH和sudo权限，然后清理，然后保留合法的外观配置，并且没有rootkit-然后再回来做您的事情。

最好的办法是查看哪些端口在监听服务，然后查看所有这些服务的配置并确保它们都是合法的。然后查看防火墙配置并锁定不需要的端口（入站和出站）。然后安装RKHunter等，看看是否有一些脚本小子在其中乱丢了根工具包。

坦率地说，执行JJ建议和重建的工作可能比绝对确保计算机没有受到损害要少。有价值的是数据，而不是操作系统和配置（设置工时除外）。

您永远无法确定它不会被比您更聪明的人破解。

第一步实际上应该是rkhunter / chkrootkit，但是过去我也很幸运，某些软件包管理器内置了一些功能，例如“ rpmverify”，它将遍历系统上的所有软件包并检查它们包含的文件的MD5Sum和磁盘上的文件没有区别。

核心二进制文件实际上应该具有与RPM或DPKG数据库中指定的MD5相同的MD5，因此，如果它们不同，则您会知道有些奇怪的事情发生了。

确定您正在运行的系统是否受到威胁的最有效方法是使用Second Look。它将验证内核和内存中所有正在运行的软件，以确保它们与分发供应商提供的内容一致。这比寻找特定已知感染的工件的rkhunter，chkrootkit等要好得多。Second Look不对操作系统的完整性做任何假设，因此您无需在事件发生之前使用或安装它。

（免责声明：我是Second Look的首席开发人员。）