从debian8.5 (x64)中检测并删除rootkit

Question

我的Debian8.5 (x64)服务器感染了一个rootkit，我通过使用live来显示/tmp和/var/tmp的内容来检测它。

我发现感染的原因是由于密码器造成的CPU负载过高。

上面的目录包含ls不显示的二进制文件，当系统运行时--我猜，rookit正在拦截系统调用？

我已经运行了chkrootkit和lynis，但是没有任何结果，除了警告(更改)：

kernel.core_uses_pid
kernel.dmesg_restrict
kernel.kptr_restrict
kernel.sysrq
kernel.yama.ptrace_scope

我要做到：

• 找到rootkit。
• 删除rootkit (如果可能的话)。

有什么建议吗？

Answer 1

真正确定是否有rootkit的最佳方法是进行法医分析。但是首先:确保您有并更新了备份。

如果您看到的文件“脱机”与liveCD，而不是正常的系统运行，也许他们有一些内核挂钩。要验证这一点，可以在不同的计算机中编译带有-static标志的busybox，然后检查系统ls和busybox ls的结果是否不同。

通常，rootkit不受系统命令的影响，您还可以使用system ps和busybox ps检查进程，看看是否有任何不同之处。

最后，您可以使用波动性来分析来自系统的内存转储，以查看正在运行的进程并发现rootkit。

Answer 2

chkrootkit的一个缺点是它的算法与已知的rootkit相比。还存在debcheckroot (https://www.elstel.org/debcheckroot/)。它比较文件内容或sha256和您的安装回购，这是最有效的发现文件修改未知来源。它也在2022年被法国国防部使用。