How do I know if my server is already compromised due to the Shellshock bug?

你没有.这就是安全漏洞的想法.如果你不得不点击让饼干进来？确定/取消它不会是一个漏洞.

您可能有一些运气检查攻击向量的日志,但鉴于这么多服务是易受攻击的并且并非所有服务都记录每次访问,因此很可能无法确定地发现攻击.

If it was compromised,is there a particular folder where I should look for malicIoUs files?

不,恶意文件可以在任何地方.

常见的rootkit将自己安装在/ root或/或/ tmp或其中一个二进制路径中,但实际上它们可以在任何地方.它们可能具有类似于真实服务的名称或类似“IPTables”或“kernel-bin”的“重要”名称,但它们也可以是随机字符串或与真正二进制文件相同的名称(仅在不同的路径中) .您可以在/etc/rc.local中发现一个非常明显的rootkit加载或通过netstat -neopa建立连接.在顶部-c中查找可疑进程名称.

一个不太常见且更难以找到的rootkit替换库或将其自身加载为shim库并拦截系统调用.这几乎是不可能找到的,除非您对系统上运行的每一件事进行分析/跟踪,并将行为与已知良好系统或源代码的预期行为进行比较.

重新加载系统会更快,更容易,也更具决定性.

How does a malicIoUs file look like?

可能与任何其他常规ELF二进制文件或库一样.它也可能是一个脚本.

总而言之,如果您认为您的系统可能已遭到入侵,请将系统视为已被泄露并采取必要措施.