web-dev-qa-db-fra.com

Server Ubuntu piraté, probablement piraté des commandes piratées (NetStat, PS, ...), comment les remplacer?

Un serveur Ubuntu de ma société a été piraté pour effectuer une attaque DOS. J'ai trouvé le bug shellshock n'avait pas été corrigé par mes collègues et je pense que c'est le problème. Ensuite, j'ai trouvé un [~ # ~] elf [~ # ~ ~] fichier qui envoie des milliers de messages et que le script est généré automatiquement par quelque chose. Même si j'essaie de le supprimer, cela crée de nouveau en soi en utilisant un nouveau nom (in/boot, /etc/init.d). En outre, je vois que la commande netstat ne me montre pas tous les vrais ports ouverts. Peut-être que la commande a-t-elle été remplacée? Comment est-il possible de le réinstaller?

7
roghan

C'est toujours une question d'effort vs résultat. Si un attaquant a gagné un contrôle complet sur le système, des milliers de personnes peuvent être remplacées ou trijanisées. La chasse à un par un est un très tâche fastidieuse.

Si les attaquants ne sont pas très sophistiqués, vous pouvez commencer par rechercher des fichiers modifiés récemment. Un point de départ consiste à rechercher des fichiers sur votre système qui ont déjà été modifiés dans/usr/bin et/sbin (où la plupart des commandes sont).

ls -ltr /usr/bin

Vérifiez ce qui se passe dans/etc en consultant des fichiers modifiés au cours des 10 derniers jours:

find /etc -mtime -10

Celles-ci sont vraiment Premières étapes de base, et ils ne couvrent pas la recherche de processus exécutés actuellement (et potentiellement masqués), qui peuvent masquer les modifications récentes du système. C'est pourquoi cela peut se transformer en un jeu de chat et de souris pouvant durer des semaines si vous manquez simplement un seul point d'entrée.

Malheureusement, la réinstallation est la meilleure option - le résultat fastidieux et presque garanti!

8
Milen