linux – 痛苦删除perl rootkit

前端之家收集整理的这篇文章主要介绍了linux – 痛苦删除perl rootkit前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
因此,我们在办公室主办了一个地理服务网络服务器.

有人显然闯入这个盒子(可能是通过ftp或ssh),然后放一些irc管理的rootkit.

现在我正在尝试清理整个过程,我发现过程pid试图通过irc连接,但我无法弄清楚谁是调用过程(已经看过ps,pstree,lsof)
该过程是由www用户拥有的perl脚本,但ps aux | grep在最后一列显示文件路径.

有没有另一种方法来追踪pid并抓住调用者?

忘了提一下:内核是2.6.23,可以利用成为root用户,但是我不能太多触摸这台机器,所以我无法升级内核

编辑:lsof可能会有所帮助:

lsof -p 9481
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAMEss
perl 9481 www cwd DIR 8,2 608 2 /ss
perl 9481 www rtd DIR 8,2 608 2 /ss
perl 9481 www txt REG 8,2 1168928 38385 /usr/bin/perl5.8.8ss
perl 9481 www mem REG 8,2 135348 23286 /lib64/ld-2.5.soss
perl 9481 www mem REG 8,2 103711 23295 /lib64/libnsl-2.5.soss
perl 9481 www mem REG 8,2 19112 23292 /lib64/libdl-2.5.soss
perl 9481 www mem REG 8,2 586243 23293 /lib64/libm-2.5.soss
perl 9481 www mem REG 8,2 27041 23291 /lib64/libcrypt-2.5.soss
perl 9481 www mem REG 8,2 14262 23307 /lib64/libutil-2.5.soss
perl 9481 www mem REG 8,2 128642 23303 /lib64/libpthread-2.5.soss
perl 9481 www mem REG 8,2 1602809 23289 /lib64/libc-2.5.soss
perl 9481 www mem REG 8,2 19256 38662 /usr/lib64/perl5/5.8.8/x86_64-linux-threa d-multi/auto/IO/IO.soss
perl 9481 www mem REG 8,2 21328 38877 /usr/lib64/perl5/5.8.8/x86_64-linux-threa d-multi/auto/Socket/Socket.soss
perl 9481 www mem REG 8,2 52512 23298 /lib64/libnss_files-2.5.soss
perl 9481 www 0r FIFO 0,5 1068892 pipess
perl 9481 www 1w FIFO 0,5 1071920 pipess
perl 9481 www 2w FIFO 0,5 1068894 pipess
perl 9481 www 3u IPv4 130646198 TCP 192.168.90.7:60321->www.****.net:ircd (SYN_SENT)

解决方法

如果我可以给你任何建议,那就是不要浪费你的时间来清理.为取证之前制作操作系统的映像,然后重新安装服务器.

对不起,但这是解决你自己rootkitted的唯一安全方法.

之后您可以检查图像,出于某些原因,为什么会发生.

根据我个人的经验,我做了这个,后来发现一个内部用户,其中包含一个包含openssl缺陷的SSH密钥.

我希望,它清除了事情.

注意:
如果要在重新安装之前对服务器进行映像/备份,请务必小心,如何执行此操作.正如@dfranke所说,从可信媒体启动到备份.

您不应该从根服务器连接到其他计算机,因为已知大型rootkit能够通过SSH等可信会话进行传播.

猜你在找的Linux相关文章