我们有一个盒子,我们怀疑它已经扎根于工作中.问题是我们如何找到它?我不是系统管理员,但我被带到团队解决这个问题,我很好奇哪里有好的地方可以寻找问题?
我们怀疑这一点的原因是我们注意到机器上的网络利用率高于(通常看似是随机的)端口.
我们可以找到问题孩子怎么办?我们可以做些什么来保护未来?是否有监控可以让我们在将来意识到这一点? (除了我们已经在密切关注的网络监控之外.)
在此先感谢,如果需要,我可以提供更多详细信息.感谢你的时间.
解决方法
您无法信任计算机上的任何系统工具. Rootkits将替换ps,netstat,ls等以隐藏它们的存在.你应该让机器离线,取出它的硬盘,制作一个取证副本(想想dd)然后在一台SEOncdary机器上工作来扫描rootkit.
如果你坚持使用现场机器(这通常是徒劳的),那么你可以尝试在CD上下载救援分发(非常重要的是副本是只读的)并使用它的ps,lsmod等副本.
即使这可能会失败,因为rootkit可以安装内核模块来隐藏/ proc中的条目,其中像ps这样的工具通常在其上运行.
祝好运!
