如何删除ssh rootkit？

Question

我用rkhunter检查了我的linux服务器，收到了以下警告消息，

. 00:35:35找到文件'/usr/include/gpm2.h‘。可能的rootkit:安装木马的SSH守护进程00:35:35找到文件'/etc/rpm/sshdOLD‘。可能的rootkit:安装木马的SSH守护进程(原始sshd二进制文件) 00:35:35找到文件'/etc/rpm/sshOLD‘。可能的rootkit:特洛伊安装的SSH守护进程(原始ssh二进制). 00:35:57在文件'/usr/sbin/sshd‘中找到了字符串'/usr/include/gpm2.h’。可能的rootkit:特洛伊安装的SSH守护进程00:35:57在文件'/usr/bin/ssh‘中找到了字符串'/usr/include/gpm2.h’。可能的rootkit:安装木马的SSH守护进程..。

在我搜索了这些细节之后，我知道这些都是SSH的rootkit。我需要知道如何从服务器中删除这些东西并使其安全(CentOS与SSH远程访问)。

Answer 1

移除？忘了它吧。您的服务器有未经授权的根访问权；到目前为止，任何东西都可能已经安装，您将没有可靠的方法来检测它。

即使是具有本地访问权限的法医专家，也需要很长时间才能完全审计一个系统，以确保没有现存恶意软件的痕迹。

唯一合理和负责任的过程是擦除光盘和重新安装/重新映像操作系统从一个可信的来源。