centos – Shellshock:我怎么知道我的服务器是否被泄露了可疑文件以备注意

前端之家收集整理的这篇文章主要介绍了centos – Shellshock:我怎么知道我的服务器是否被泄露了可疑文件以备注意前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我希望有人可以帮助回答三个问题:

>我如何知道由于@L_502_0@shock错误我的服务器是否已被入侵?
>如果它被泄露,是否有一个特定的文件夹,我应该寻找恶意文件
>恶意文件是什么样的?

我正在运行CentOS 6,LEMP堆栈

How do I know if my server is already compromised due to the Shellshock bug?

你没有.这就是安全漏洞的想法.如果你不得不点击让饼干进来?确定/取消它不会是一个漏洞.

您可能有一些运气检查攻击向量的日志,但鉴于这么多服务是易受攻击的并且并非所有服务都记录每次访问,因此很可能无法确定地发现攻击.

If it was compromised,is there a particular folder where I should look for malicIoUs files?

不,恶意文件可以在任何地方.

常见的rootkit将自己安装在/ root或/或/ tmp或其中一个二进制路径中,但实际上它们可以在任何地方.它们可能具有类似于真实服务的名称或类似“IPTables”或“kernel-bin”的“重要”名称,但它们也可以是随机字符串或与真正二进制文件相同的名称(仅在不同的路径中) .您可以在/etc/rc.local中发现一个非常明显的rootkit加载或通过netstat -neopa建立连接.在顶部-c中查找可疑进程名称.

一个不太常见且更难以找到的rootkit替换库或将其自身加载为shim库并拦截系统调用.这几乎是不可能找到的,除非您对系统上运行的每一件事进行分析/跟踪,并将行为与已知良好系统或源代码的预期行为进行比较.

重新加载系统会更快,更容易,也更具决定性.

How does a malicIoUs file look like?

可能与任何其他常规ELF二进制文件或库一样.它也可能是一个脚本.

总而言之,如果您认为您的系统可能已遭到入侵,请将系统视为已被泄露并采取必要措施.

猜你在找的CentOS相关文章