अगर लिनक्स सर्वर रूटकिट्स / बैकसाइड / बॉटनेट आदि से साफ है, तो कैसे जांचें?

9

यदि एक लिनक्स सर्वर एक सप्ताह के लिए चरम कम सुरक्षा नीति (आर / डब्ल्यू अनाम सांबा फ़ोल्डर्स, डिफ़ॉल्ट व्यवस्थापक पासवर्ड, कोई फ़ायरवॉल, आदि के साथ फायरबर्ड डेटाबेस सर्वर) के साथ इंटरनेट से अवगत कराया गया था, तो मैं कैसे सुनिश्चित करूँ कि सिस्टम है पूर्ण स्वरूपण और पुनः संस्थापन के बिना समझौता नहीं किया गया, केवल SSH के माध्यम से इसे दूर तक पहुँचा?

linux  ubuntu  security  rootkit  botnet 
इवान
स्रोत

जवाबों:

7

आम तौर पर मैं chkrootkit जैसे उपकरण के साथ एक स्थानीय जाँच का सुझाव देता हूँ, लेकिन अगर चेक को चलाने का एकमात्र तरीका दूरस्थ रूप से ऐसा करना है, तो मैं आपको इसके बजाय रूटकिट हंटर आज़माने की सलाह दूंगा

रूकिट हंटर रूटकिट और अन्य ऐसी गतिविधि के लिए जाँच करता है जैसे कि निम्नलिखित परीक्षण चलाकर ( अधिक जानकारी के लिए प्रोजेक्ट जानकारी देखें):

  • MD5 हैश तुलना
  • रूटकिट द्वारा उपयोग की जाने वाली डिफ़ॉल्ट फ़ाइलों के लिए देखें
  • बायनेरिज़ के लिए गलत फ़ाइल अनुमतियाँ
  • एलकेएम और केएलडी मॉड्यूल में संदिग्ध तारों की तलाश करें
  • छिपी हुई फ़ाइलों के लिए देखो

मैं जोड़ना चाहता हूं कि जैसा कि दूसरों ने कहा है, यह सुनिश्चित करने का एकमात्र निश्चित तरीका है कि आपकी सेवा के साथ कोई छेड़छाड़ नहीं हुई है, इसे फिर से बनाना है। ये उपकरण अच्छी तरह से काम करते हैं, लेकिन वे सफलता की 100% गारंटी नहीं हैं।

runlevelsix
स्रोत
2

मुझे पता है कि यह उत्तर वह नहीं है जो आप सुनना चाहते हैं लेकिन यहाँ हम वैसे भी जाते हैं। कुछ उपकरण हैं जो सिस्टम को साफ करने के लिए सिस्टम को साफ करने के लिए सबसे अच्छा तरीका है कि सर्वर को मिटा सकते हैं और पुनर्निर्माण कर सकते हैं। मैं निम्नलिखित कार्य करूंगा:

  • कंप्यूटर को इंटरनेट से हटा दें
  • बैकअप डेटा और उपकरणों को हटाने के लिए जानकारी कॉन्फ़िगर करें
  • फॉर्मेट स्टोरेज
  • आधार / मानक सेटअप / अपडेट को पुनर्स्थापित करें
  • संदर्भ के रूप में पुराने डेटा का उपयोग कर सर्वर को फिर से कॉन्फ़िगर करें
  • यूज़र डेटा को बहाल करें

यदि आप पहले से ही नहीं हैं तो यहां कुछ संसाधन पढ़ना शुरू कर देंगे।

[लिंक टेक्स्ट] [१] लिंक टेक्स्ट लिंक टेक्स्ट लिंक टेक्स्ट

[१]: http://www.sans.org/reading_room/whitepapers/linux/linux-rootkits-beginners-prevention-removal_901 "Linux Rootkits Beginners"

JJ01
स्रोत
2

इसके अलावा आप जो उत्तर चाहते हैं वह नहीं है, लेकिन अगर कोई संभावना है कि एक सिस्टम निहित था, तो यह सुनिश्चित करना बहुत मुश्किल हो सकता है कि सिस्टम साफ हो। रूटकिट्स का पता लगाना मुश्किल हो जाता है। यदि आप विभिन्न रूट चेकर्स चलाते हैं और यह साफ है, तो "सबसे अधिक संभावना है" आपका सिस्टम साफ है।

यदि सुरक्षा एक चिंता का विषय है, तो मैं इसे उपरोक्त पोस्टर के रूप में फिर से बनाने पर विचार करूंगा या इसे अच्छे बैकअप से पुनर्स्थापित करूंगा।

USACASD
स्रोत
1

आपको वास्तव में यहां सक्रिय होना चाहिए। मशीनों पर रूटकिट्स का पता लगाने का कोई विश्वसनीय तरीका नहीं है, इसलिए आपको उन्हें पहली जगह में वहाँ जाने से रोकने की ज़रूरत है और उन्हें एंट्री पर पता लगाने के तरीके खोजने होंगे (जैसे ट्रिपवायर और लॉक डाउन इंटरफेस)।

यदि आपको लगता है कि किसी मशीन का किसी भी तरह से शोषण किया गया है, तो आपको वास्तव में पुन: स्थापित करने की आवश्यकता है - इसे पुन: स्थापित करने की कोई गारंटी नहीं है। अब तक का सबसे सुरक्षित विकल्प।

एडम गिबिन्स
स्रोत
1

RKhunter, Tripwire आदि महान हैं, लेकिन वास्तव में केवल लाभ का है अगर वे घटना से पहले स्थापित किए गए थे - यह इसलिए है क्योंकि वे यह पता लगाने के लिए महान हैं कि क्या महत्वपूर्ण फाइलें बदल दी गई हैं। यदि आप अभी RKHunter स्थापित करते हैं और इसे चलाते हैं, तो यह कई रूटकिट्स के समावेश का पता लगाएगा, लेकिन यह ओएस या आपके द्वारा उपयोग किए जाने वाले अनुप्रयोगों में खोले गए किसी भी बैकडोर का पता नहीं लगाएगा।

उदाहरण के लिए, आप एक कंप्यूटर पर चुपके कर सकते हैं, एक नया उपयोगकर्ता बना सकते हैं, उन्हें SSH और sudo परमिशन दे सकते हैं, और फिर बाद में एक साफ-सुथरी दिखने वाली कॉन्फिग को छोड़ कर साफ कर सकते हैं, और कोई rootkits नहीं - फिर बाद में वापस आकर अपनी बुराई कर सकते हैं।

सबसे अच्छी बात यह है कि किन पोर्ट्स पर सेवाएं सुनने के लिए हैं, फिर उन सभी सेवाओं के कॉन्फ़िगरेशन को देखें और सुनिश्चित करें कि वे सभी वैध हैं। फिर अपने फ़ायरवॉल कॉन्फ़िगरेशन को देखें और उन पोर्ट्स को बंद कर दें जिनकी आपको आवश्यकता नहीं है, दोनों में और बाहर जाने वाले। फिर RKHunter इत्यादि को स्थापित करें यह देखने के लिए कि क्या कुछ स्क्रिप्ट-किडी ने गड़बड़ में रूट किट को गिरा दिया है।

फ्रैंक होने के लिए, यह संभवतया कम काम है कि जेजे ने सुझाव दिया और कंप्यूटर को पूरी तरह से समझौता नहीं किया है। यह वह डेटा है जो मूल्यवान है, ओएस और कॉन्फिगरेशन (इसके सेट अप में मैन आवर्स के अलावा) नहीं।

आपको कभी भी यकीन नहीं होगा कि यह आपसे ज्यादा चालाक किसी व्यक्ति द्वारा फटा नहीं था।

dunxd
स्रोत
0

पहला कदम वास्तव में rkhunter / chkrootkit होना चाहिए, हालाँकि मैंने अतीत में उन विशेषताओं के साथ भी अच्छी किस्मत पाई है जो कुछ निश्चित पैकेज मैनेजरों में बनती हैं, उदाहरण के लिए 'rpmverify' जो आपके सिस्टम पर सभी पैकेजों के माध्यम से जाएगा और जाँच करेगा कि फ़ाइलों के MD5Sums वे डिस्क पर फ़ाइलों से अलग नहीं है शामिल थे।

कोर बायनेरिज़ वास्तव में RPM या DPKG डेटाबेस में निर्दिष्ट किए गए समान MD5s होना चाहिए, इसलिए यदि वे अलग हैं तो आपको पता है कि कुछ अजीब चल रहा है।

JamesHannah
स्रोत
-1

यह निर्धारित करने का सबसे प्रभावी तरीका है कि आपके रनिंग सिस्टम से छेड़छाड़ की जाती है या नहीं, दूसरे लुक का उपयोग करना है । यह कर्नेल और मेमोरी में चल रहे सभी सॉफ़्टवेयर को यह सुनिश्चित करने के लिए सत्यापित करेगा कि वे वितरण विक्रेता द्वारा शिप किए गए अनुरूप हैं। यह रूखंटर, चकरोटकिट आदि की तुलना में कहीं बेहतर दृष्टिकोण है, जो विशिष्ट ज्ञात संक्रमणों की कलाकृतियों की तलाश करते हैं। दूसरा लुक ऑपरेटिंग सिस्टम की अखंडता के बारे में कोई धारणा नहीं बनाता है, इसलिए आपको किसी घटना से पहले इसे इस्तेमाल या स्थापित करने की आवश्यकता नहीं है।

(डिस्क्लेमर: मैं सेकंड लुक का मुख्य डेवलपर हूं।)

एंड्रयू टापर्ट
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.