如何确定服务器被装了rootkit？

seskissinger

我新接手了一个服务器。以前的网管估计装了rootkit。我也不确定，我想知道我的系统里是否有rootkit。我该怎么办呢？我尝试在服务器上装rkhunter和chkrootkit。都被kill掉了。。。
郁闷中，到底如何发现它？不能停掉系统，也无法确定系统文件的完整性

joyaid

呵呵~~ sbin/ bin/ 下的某类cmd 是不是都被改过了??

找个干净的ps 命令看看

jiajuzh

最好的办法是在系统可信的情况下先安装tripware，当你怀疑系统有问题的时候，用tripware扫描系统与原来可信的系统进行比对，就能发现问题所在。在系统不可信的情况下你可以从网上很容易找到类似于arudius等等live cd的安全审计工具集，手工进行分析，找到可疑的shell与其它同版本可信的服务器上的shell进行比对

achlice

能不能这样，找一台完全正常 的机器， copy 正常系统中的  /bin   /usr/bin/  
/usr/local/bin   /sbin/   下的东西 然后把这些 作为工具刻在一张光盘上，把光盘放在服务器上，光盘不可写，然后用光盘下的工具来检查系统 ～～

小N哥哥

原帖由 孤独的鹰 于 2007-10-17 10:20 发表
所有的shell 系统命令都用光盘外挂进去
以前我做过一个iso文件里面静态编译了所有的系统命令和一些工具
mount上机器然后使用ISO内的命令进行检查
既然中了木马就是都不可信的

能SHARE一份？

kingp999

是否有备份用的服务器?
最好把所有服务与数据转到另外一个去,这个应该停不了多久时间
既然不知道怎么被种的木马也没其它办法了

seskissinger

有问题大家可以讨论。谢谢楼上的。

孤独的鹰

原帖由 platinum 于 2007-10-18 22:50 发表

备份数据，重新配置，加强防护，别无他法
因为你如果被入侵了，那么所有东西都是不可信的（包括你跑的服务）

没用的
很多人压根不知道是怎么被黑的，那就谈不上修补漏洞。
重新配置老问题依然出现，下次接着被黑。

也不能啥问题都说是新手不懂，谁天生就懂的，论坛解决问题就是点到为止，有点线索google一下不就出来。
难道非要象幼儿园老师一样。一口口喂东西给你吃。

platinum

原帖由 seskissinger 于 2007-10-18 16:49 发表

我没做过所有命令的光盘。我新来的，有别的方法没？

备份数据，重新配置，加强防护，别无他法
因为你如果被入侵了，那么所有东西都是不可信的（包括你跑的服务）

seskissinger

原帖由 孤独的鹰 于 2007-10-17 10:20 发表
所有的shell 系统命令都用光盘外挂进去
以前我做过一个iso文件里面静态编译了所有的系统命令和一些工具
mount上机器然后使用ISO内的命令进行检查
既然中了木马就是都不可信的

我没做过所有命令的光盘。我新来的，有别的方法没？