如何确定服务器被装了rootkit？

seskissinger

我新接手了一个服务器。以前的网管估计装了rootkit。我也不确定，我想知道我的系统里是否有rootkit。我该怎么办呢？我尝试在服务器上装rkhunter和chkrootkit。都被kill掉了。。。
郁闷中，到底如何发现它？不能停掉系统，也无法确定系统文件的完整性

honckly

rpm -qa rootkit

ps:为什么被kill掉?错误信息呢?

seskissinger

现在的状况是，无法停止服务器。。也不知道服务器上的程序。login ，bash之类的是否被替换。。。。唯一知道的。是系统有有17个隐藏的进程（ps命令显示不出来），我不知道是不是redhat as4配置的隐藏进程还是rootkit干的
执行rkhunter，被kill掉，错误的日志信息是
backup kernel: syslog[23024] general protection rip:3efdf716e0 rsp:7fbfffaec8 error:0


这种形势太难了。。。

jiecho

唉，都是什么社会，什么时代，什么人啊……

platinum

用 rkhunter 扫描一下便知

seskissinger

我尝试在服务器上装rkhunter和chkrootkit。都被kill掉了。。。
。。。。。。楼上的看贴还真是仔细

platinum

不知是如何 kill 被掉的

seskissinger

错误的日志信息是
backup kernel: syslog[23024] general protection rip:3efdf716e0 rsp:7fbfffaec8 error:0
楼上的看贴。。。。。

恨闯江湖1

服务器上装rkhunter和chkrootkit

platinum

启用 SELinux 了？
若没有，那基本可以断定已经中马了，若想进一步测试，需要用干净的系统启动然后测试，但你的服务不能停……