Debian 8.5(x64)からルートキットを検出して削除する
私のDebian 8.5(x64)サーバーはルートキットに感染しています。ルートキットは、ライブCDを使用して/tmpおよび/var/tmpのコンテンツを表示することで検出されました。
クリプトマイナーによる高いCPU負荷を確認することで感染を発見しました。
上記のディレクトリには、システムの実行中にlsが表示しないバイナリが含まれています-おそらく、ルーキーはシステムコールを傍受していますか?
私はすでにchkrootkitとlynisを実行しましたが、次の警告(変更)を除いて、結果はありません。
kernel.core_uses_pid
kernel.dmesg_restrict
kernel.kptr_restrict
kernel.sysrq
kernel.yama.ptrace_scope
達成したい:
- ルートキットを見つけます。
- ルートキットを削除します(可能な場合)。
助言がありますか?
ルートキットを持っているかどうかを実際に識別する最良の方法は、フォレンジック分析を実行することです。ただし、まず第一に、バックアップが最新であることを確認してください。
LiveCDで「オフライン」のファイルが表示されていて、通常のシステムが実行されていない場合は、カーネルフックがある可能性があります。この点を確認するには、別のコンピューターで-staticフラグを指定してbusyboxをコンパイルし、システムlsとbusybox lsの結果が異なるかどうかを確認します。
通常、ルートキットはシステムコマンドから身を隠します。システムpsおよびbusybox psでプロセスをチェックして、違いがないかどうかを確認することもできます。
最後に、volatilityを使用して、システムからのメモリダンプを分析し、実行中のプロセスを確認して、そのルートキットを検出できます。