¿Cómo eliminar los rootkits ssh? [duplicar]

Navega tus respuestas
3

Revisé mi servidor Linux con rkhunter, recibí los siguientes mensajes de advertencia,

  

...

     

[00:35:35] Archivo encontrado '/usr/include/gpm2.h'. Posible   rootkit: demonio Trojaned SSH

     

[00:35:35] Archivo encontrado '/ etc / rpm / sshdOLD'. Posible rootkit:   Demonio Trojaned SSH (binario sshd original)

     

[00:35:35] Archivo encontrado '/ etc / rpm / sshOLD'. Posible rootkit:   Demonio Trojaned SSH (binario ssh original)

     

...

     

[00:35:57] Se encontró la cadena '/usr/include/gpm2.h' en el archivo   '/ usr / sbin / sshd'. Posible rootkit: demonio Trojaned SSH

     

[00:35:57] Se encontró la cadena '/usr/include/gpm2.h' en el archivo   '/ usr / bin / ssh'. Posible rootkit: demonio Trojaned SSH

     

...

Después de que busqué en Google estos detalles, comprendí que todos estos son rootkits SSH. Necesito saber cómo eliminar estas cosas del servidor y hacerlas seguras (CentOS con acceso remoto SSH).

    
pregunta Kumar 12.07.2013 - 09:27
fuente

1 respuesta

11

¿Eliminación? Olvídalo. No hay acceso de raíz no autorizado a su servidor; cualquier cosa podría haberse instalado hasta ahora y no tendría una forma confiable de detectarlo.

Incluso para un experto forense con acceso local, llevaría mucho tiempo auditar completamente un sistema para asegurar que no queden rastros del malware existente.

El único curso razonable y responsable es limpiar el disco y reinstalar / restablecer la imagen del SO de una fuente confiable.

    
respondido por el bobince 12.07.2013 - 11:40
fuente

Lea otras preguntas en las etiquetas

IPS fail close vs IPS fail open, ¿cuáles son los riesgos y beneficios? ¿Por qué necesitamos WTLS?