タグ付けされた質問 「rootkit」

gitを使用して、Linuxサーバー全体をバージョン管理下に置くことを考えています。その背後にある理由は、悪意のある変更/ルートキットを検出する最も簡単な方法かもしれないということです。システムの整合性を確認するために必要だと思うすべて：レスキューシステムを使用して毎週Linuxパーティションをマウントし、gitリポジトリがまだ調子が悪いかどうかを確認し、システムに加えられた変更を検出するためにgitステータスを発行します。 ディスク容量の明らかな浪費とは別に、他の負の副作用はありますか？ それは完全にクレイジーなアイデアですか？ 少なくとも/ devと/ procを除外する必要がある可能性が高いので、ルートキットをチェックする安全な方法ですらありますか？

17 linux  security  git  rootkit 

サーバーのいずれかのac：ディスクのルートにランダムに作成されたウイルスファイルがいくつかあります。作成したものを調べるにはどうすればよいですか？サードパーティ製のソフトウェアがありますか？

12 windows  malware  rootkit 

サーバーがルート化された場合（たとえば、このような状況）、最初にすべきことの1つは封じ込めです。一部のセキュリティスペシャリストは、すぐに修正プログラムを入力せず、フォレンジックが完了するまでサーバーをオンラインに保つことを推奨します。これらのアドバイスは通常APT向けです。時々Script kiddieの違反があった場合は異なります。そのため、早めに修正（修正）することもできます。修復の手順の1つは、サーバーの封じ込めです。ロバート・モアの回答から引用-「被害者を強盗から切り離す」。 サーバーは、ネットワークケーブルまたは電源ケーブルを引っ張って収容できます。 どちらの方法が良いですか？ 以下の必要性を考慮に入れる： さらなる被害から被害者を守る 成功した法医学の実行 （おそらく）サーバー上の貴重なデータを保護する 編集：5つの仮定 想定： 早期に検出されました：24時間。 早期に回復したい：ジョブの1人のシステム管理者の3日間（フォレンジックと回復）。 サーバーは、サーバーメモリの内容をキャプチャするスナップショットを取得できる仮想マシンまたはコンテナーではありません。 起訴を試みないことにします。 攻撃者が何らかの形式のソフトウェア（おそらく高度な）を使用している可能性があり、このソフトウェアがサーバー上で実行されていると思われます。

11 rootkit  security 

Linuxサーバーが非常に低いセキュリティポリシー（r / w匿名のSambaフォルダー、デフォルトの管理者パスワードが設定されたFirebirdデータベースサーバー、ファイアウォールなしなど）でインターネットに1週間公開された場合、システムが完全なフォーマットと再インストールなしで妥協せず、SSH経由でリモートからのみアクセス

9 linux  ubuntu  security  rootkit  botnet 

そこで、オフィスでジオサービスウェブサーバーをホストしています。 誰かがおそらくこのボックスに侵入し（おそらくftpまたはsshを介して）、何らかの種類のirc管理のルートキットを置いたようです。 今私はすべてを整理しようとしています、ircを介して接続しようとするプロセスpidを見つけましたが、呼び出しプロセスが誰であるのかわかりません（すでにps、pstree、lsofで調べられました）プロセスはperlですスクリプトはwwwユーザーが所有していますが、ps aux | grepは最後の列に偽のファイルパスを表示します。 そのpidを追跡して呼び出し元をキャッチする別の方法はありますか？ 言及するのを忘れました：カーネルは2.6.23です。これはrootになるために悪用可能ですが、このマシンにはあまり触れられないため、カーネルをアップグレードできません。 編集：lsofは役立つかもしれません： lsof -p 9481 コマンドPIDユーザーFDタイプデバイスサイズノード名ss perl 9481 www cwd DIR 8,2 608 2 / ss perl 9481 www rtd DIR 8,2 608 2 / ss perl 9481 www txt REG 8,2 1168928 38385 / usr / bin / perl5.8.8ss perl 9481 www …

8 linux  security  perl  process  rootkit 

ロックされています。質問はトピックから外れていますが、歴史的に重要であるため、この質問とその回答はロックされています。現在、新しい回答や相互作用を受け入れていません。 公的に信頼できるソースからのルートキット検出および/または削除ツールのリスト： 名前、ベンダー、最新リリース RootkitRevealer、Sysinternals、2006年11月1日 ルートキットUnhooker、ep_x0ff（今によると、マイクロソフトで働いRootkit.com）、2007年12月 エフセキュアブラックライト、エフセキュア、不明 GMER、GMER、2009年3月 Microsoft悪意のあるソフトウェアの削除ツール、Microsoft、2009年4月 IceSword、不明、2005年9月 知っている信頼できるツールをリストに追加してください。

8 windows  anti-virus  rootkit