Questions tagged «rootkit»

我正在考虑使用git将我的整个linux服务器置于版本控制下。其背后的原因是，这可能是检测恶意修改/ rootkit的最简单方法。我天真的认为检查系统完整性是必要的：每周大约使用救援系统挂载linux分区，检查git存储库是否仍未调温，然后发出git status来检测对系统所做的任何更改。 除了明显浪费磁盘空间外，还有其他负面影响吗？ 这是一个完全疯狂的主意吗？ 因为我最有可能必须至少排除/ dev和/ proc，所以它甚至是一种安全的检查rootkit的方法吗？

17 linux  security  git  rootkit 

我在我的一台服务器的ac：磁盘的根目录上随机创建了一些病毒文件。我如何找出是什么原因造成的？也许一些第三方软件？

12 windows  malware  rootkit 

当服务器扎根时（例如，类似这样的情况），您可能要决定做的第一件事就是遏制。一些安全专家建议不要立即进行补救，并在完成取证之前使服务器保持在线。这些建议通常是针对APT的。如果您偶尔遇到脚本小子违规情况，则情况有所不同，因此您可以决定尽早进行补救（修复问题）。补救步骤之一是控制服务器。引用罗伯特·莫尔（Robert Moir）的答案 -“断开受害者与抢劫者的联系”。 可以通过拉动网络电缆或电源电缆来容纳服务器。 哪种方法更好？ 考虑到以下需求： 保护受害者免受进一步损害 执行成功的取证 （可能）保护服务器上的重要数据 编辑：5个假设 假设： 您检测得很早：24小时。 您想早日恢复：1名系统管理员需要3天的工作时间（取证和恢复）。 该服务器不是虚拟机或能够拍摄快照以捕获服务器内存内容的容器。 您决定不尝试起诉。 您怀疑攻击者可能正在使用某种形式的软件（可能是复杂的），并且该软件仍在服务器上运行。

11 rootkit  security 

如果Linux服务器以极低的安全策略（r / w匿名Samba文件夹，具有默认管理员密码的Firebird数据库服务器，没有防火墙等）暴露于互联网上一周，那么如何确保系统正常运行？没有完全格式化和重新安装就不会受到损害，只能通过SSH远程访问？

9 linux  ubuntu  security  rootkit  botnet 

因此，我们在办公室托管了一个地理服务网络服务器。 显然有人闯入了这个盒子（可能是通过ftp或ssh），并放入了某种由irc管理的rootkit。 现在，我正在尝试清理整个过程，我发现进程pid试图通过irc连接，但是我不知道是谁在调用进程（已经使用ps，pstree和lsof查找）了，该进程是一个perl。脚本归www用户所有，但ps aux | grep在最后一列显示伪造的文件路径。 还有另一种方法来跟踪该pid并捕获调用方吗？ 忘了说了：内核是2.6.23，可以利用它成为root，但是我不能过多地触摸这台机器，所以我不能升级内核 编辑：lsof可能会帮助： lsof -p 9481 命令PID用户FD类型设备大小节点名称ss perl 9481 www cwd DIR 8,2 608 2 / ss perl 9481 www rtd DIR 8,2 608 2 / ss perl 9481 www txt REG 8,2 1168928 38385 / usr / bin / perl5.8.8ss perl 9481 www …

8 linux  security  perl  process  rootkit 

已锁定。该问题及其答案被锁定，因为该问题是题外话，但具有历史意义。它目前不接受新的答案或互动。 来自公共信任来源的rootkit检测和/或删除工具的列表： 名称，供应商，最新版本 RootkitRevealer，Sysinternals，2006年11月1日 Rootkit的Unhooker，ep_x0ff（现为微软根据工作Rootkit.com），2007年12月 F-Secure Blacklight，F-Secure（未知） GMER，GMER，2009年3月 Microsoft恶意软件删除工具，Microsoft，2009年4月 IceSword，未知，2005年9月 请将您知道的所有受信任的工具添加到列表中。

8 windows  anti-virus  rootkit