Detectar y eliminar rootkit de Debian 8.5 (x64)

Navega tus respuestas
2

Mi servidor Debian 8.5 (x64) está infectado con un rootkit, que he detectado al usar un CD en vivo para mostrar el contenido de /tmp y /var/tmp .

Descubrí la infección al ver altas cargas de CPU debido a un cryptominer.

Los directorios anteriores contienen archivos binarios que ls no muestra cuando el sistema se está ejecutando. Supongo que el rookit está interceptando llamadas al sistema.

Ya he ejecutado chkrootkit y lynis , pero sin ningún resultado, excepto advertencias (modificadas) sobre: 

kernel.core_uses_pid
kernel.dmesg_restrict
kernel.kptr_restrict
kernel.sysrq
kernel.yama.ptrace_scope

Quiero lograr:

  • Localiza el rootkit.
  • Eliminar el rootkit (si es posible).

¿Alguna sugerencia?

    
pregunta Shuzheng 23.06.2018 - 14:56
fuente

1 respuesta

1

La mejor manera de identificar realmente si tiene un rootkit es realizar un análisis forense. Pero antes que nada, asegúrese de tener una copia de seguridad actualizada.

Si está viendo archivos "sin conexión" con el LiveCD, y no con el sistema normal en ejecución, tal vez tengan algunos enlaces del kernel. Para verificar este punto, puede compilar busybox con el indicador -static en una computadora diferente, luego verifique si los resultados con el sistema ls y busybox ls son diferentes.

Por lo general, los rootkits se ocultan de los comandos del sistema, también puede verificar el proceso con el sistema ps y busybox ps para ver si hay diferencias.

Finalmente, puedes usar volatilidad para analizar un volcado de memoria de tu sistema para ver el proceso que estás ejecutando y descubrir ese rootkit.

    
respondido por el Hugo Glez 29.08.2018 - 20:28
fuente

Lea otras preguntas en las etiquetas

¿Cómo acceder a la interfaz web del escáner arachni? [cerrado] Oauth2 - en aplicaciones empresariales tradicionales