web-dev-qa-db-fra.com

Pouvons-nous faire confiance aux informations affichées par les commandes utilitaires Linux pour une machine vulnérable?

Après avoir vérifié une machine de Linux vulnérable pour le rootkit et les supprimer, nous devons obtenir des informations sur le processus, le port, les connexions entrantes ou sortantes ..., en utilisant des commandes utiles telles que ps, netstat , top, lsof ...

Pouvons-nous faire confiance aux informations affichées par les commandes utilitaires Linux?

9
GAD3R

Comme le système est compromis, rien ne doit être confié à la manière des outils. Sauf si vous avez les outils validés (par exemple TripWire FIM ), votre meilleur pari est de prendre un système similaire, de copier sur ce qui est nécessaire, qui devrait exécuter si les systèmes sont similaires en architecture, etc. Ceci est pas la méthode optimale cependant. Étant donné que la machine est compromise, en fonction de vos prochaines étapes (légales, autorités, etc.), vous créeriez une image médico-légale, puis traiter avec ce que vous avez eu votre copie. Une fois que vous avez votre copie, vous devez déterminer le risque associé à la mise en ligne du système, etc.

Si vous avez déterminé comment un attaquant a eu lieu sur le système, vous devrez nettoyer ce "trou" (vulnérabilité, mauvaise configuration) afin d'être sûr qu'ils ne reviennent pas. Parfois, cela peut consommer plus de temps et d'installer un système propre. Mais disons que vous avez besoin de "ce" système. Vous pouvez réinstaller PS avec quelque chose comme: apt-get install --reinstall procps la même chose s'applique pour LSOF. Vous voudrez vous assurer que vos reposer n'étaient pas modifiés et que votre DNS ne pointe pas vers un repo non confiant.

Pour la plupart de répondre à votre question: pouvons-nous faire confiance aux informations affichées par les commandes utilitaires Linux La réponse est que vous ne devez absolument pas. Peu de choses sur ce système doivent être confiées jusqu'à ce qu'une analyse approfondie soit effectuée.

18
munkeyoto

Probablement, mais pas nécessairement. L'attaquant pourrait toujours remplacer les programmes avec des versions modifiées de leur propre si elles avaient accès root.

2
Cyrus Roshan

Étonnamment, contre toutes les lois de l'univers, une analogie basée sur une voiture est inutile ici.

A Invasion des arrachoirs du corps Analogie fonctionne, cependant.

Toute des commandes de votre système (ou les bibliothèques dont ils dépendent) peut être (et probablement) remplacée par une copie qui ressemble et agit presque exactement comme l'original, mais a également le but secret de cacher le compromis existant et/ou l'assistance toute tentative de compromis future.

En bref, la réponse est "Non, vous ne pouvez faire confiance à aucun des programmes sur votre système compromis".

2
cas