..png)
내 Linux 노트북이 다음 세 가지 이유로 해킹당했다고 생각합니다.
내 홈 폴더에 파일을 저장할 때마다 파일이 나타나지 않습니다. 내 컴퓨터의 다른 폴더에도 마찬가지입니다.
내 홈 폴더에 낯선 .txt 파일이 나타났습니다. 눈치채긴 했지만 열지는 않았어요. 나는 즉시 내 노트북이 해킹당했을지도 모른다고 의심했습니다.
방화벽 상태를 확인해 보니 비활성 상태인 것으로 나타났습니다.
그래서 저는 다음과 같은 조치를 취했습니다.
나는 두 개의 USB 스틱을 사용하여 최근 파일을 모두 백업하는데 이 두 개의 USB 스틱은 내가 소유한 다른 USB 스틱만큼 중요하지 않습니다. 따라서 이 USB 스틱이 잠재적인 맬웨어에 감염되어도 다른 백업 중요 파일은 감염되지 않습니다. .
저는 위의 의심스러운 파일을 검사하기 위해 ClamTK를 사용했습니다. 하지만 어떤 이유에서든 어떤 위협도 감지하지 못한 것 같습니다.
chkrootkit을 사용하여 또 다른 검사를 수행했습니다. 출력은 다음과 같습니다(아직 감염된 것은 없는 것 같습니다).
Searching for suspicious files and dirs, it may take a while... The following suspicious files and directories were found: /usr/lib/python2.7/dist-packages/PyQt4/uic/widget-plugins/.noinit /usr/lib/debug/.build-id /lib/modules/4.13.0-39-generic/vdso/.build-id /lib/modules/4.13.0-37-generic/vdso/.build-id /lib/modules/4.10.0-38-generic/vdso/.build-id /lib/modules/4.13.0-36-generic/vdso/.build-id /lib/modules/4.13.0-32-generic/vdso/.build-id /lib/modules/4.13.0-38-generic/vdso/.build-id /usr/lib/debug/.build-id /lib/modules/4.13.0-39-generic/vdso/.build-id /lib/modules/4.13.0-37-generic/vdso/.build-id /lib/modules/4.10.0-38-generic/vdso/.build-id /lib/modules/4.13.0-36-generic/vdso/.build-id /lib/modules/4.13.0-32-generic/vdso/.build-id /lib/modules/4.13.0-38-generic/vdso/.build-id그리고:
Searching for Linux/Ebury - Operation Windigo ssh... Possible Linux/Ebury - Operation Windigo installetdF-PROT, fpscan, Ultimate Boot CD를 사용하여 노트북 스캔을 두 번 시도했습니다. 하지만 도구를 사용하기 위해 디스크의 PartedMagic 섹션으로 이동하려고 하면 작동하지 않습니다. 두 배. 그래서 전혀 못쓰고 있어요.
을 입력하면
sudo freshclam다음과 같은 결과가 출력됩니다.ERROR: /var/log/clamav/freshclam.log is locked by another process ERROR: Problem with internal logger (UpdateLogFile = /var/log/clamav/freshclam.log).그런 다음 rkhunter를 사용하여 컴퓨터를 스캔했습니다. 내가 받는 경고는 다음과 같습니다.
/usr/bin/lwp-request [ Warning ] Performing filesystem checks Checking /dev for suspicious file types [ Warning ] Checking for hidden files and directories [ Warning ]요약은 다음과 같습니다.
System checks summary ===================== File properties checks... Files checked: 143 Suspect files: 1 Rootkit checks... Rootkits checked : 365 Possible rootkits: 0 Applications checks... All checks skipped The system checks took: 1 minute and 10 seconds All results have been written to the log file: /var/log/rkhunter.log One or more warnings have been found while checking the system. Please check the log file (/var/log/rkhunter.log)
결국 저는 rkhunter 로그 파일에 루트로 액세스할 수 없습니다.
n-even@neven-Lenovo-ideapad-310-14ISK ~ $ sudo su
neven-Lenovo-ideapad-310-14ISK n-even # /var/log/rkhunter.log
bash: /var/log/rkhunter.log: Permission denied
이제 어떻게 해야 하나요?
도움을 주셔서 감사합니다! 감사합니다.
답변1
질문하신 내용을 바탕으로,네 시스템은 깨끗해.
백업을 하고 있습니다. 좋아요
clamav깨끗하게 나오세요. 그것도 좋습니다.귀하의 결과에 따르면
chkrootkit귀하의 시스템은 깨끗합니다. 의심스러운 것으로 나열된 파일은 무해합니다. Ebury/Windigo 감지는 거짓 긍정입니다.https://github.com/Magentron/chkrootkit/issues/1시도한 라이브 디스크 중 일부가 작동하지 않았습니다. 그것은 중요하지 않습니다.
이미 데몬으로 실행 중인 업데이트 프로그램이 있을 수 있습니다.
로그 파일을 실행하려고 합니다. 대신, 호출기(예:
less /var/log/rkhunter.log.
논리적 관점에서 볼 때 실시간 스캐너가 아니기 chkrootkit때문에 실행되는 동일한 시스템을 검색하는 데 사용되는 경우 그다지 유용하지 않으므로 적절하게 패키지된 루트킷은 실행되기 전에 스캐너를 파괴합니다. rkhunter또한 두 가지 모두 많은 수의 오탐으로 이어질 수 있는 경험적 방법을 갖추고 있습니다.
표시되지 않는 저장된 파일은 시스템 손상을 나타내는 경우가 거의 없습니다. 귀하가 언급한 "의심스러운" .txt 파일의 내용을 알지 못하면 결론을 도출하는 것이 불가능합니다. DEADJOE는 JOE 텍스트 편집기로 생성된 백업 파일입니다. Linux Mint의 방화벽은 기본적으로 비활성화되어 있습니다.
편집: DEADJOE 파일에 대한 정보를 추가했습니다.
답변2
neven-Lenovo-ideapad-310-14ISK n-even # /var/log/rkhunter.log
bash: /var/log/rkhunter.log: Permission denied
로그 파일을 실행하려고 합니다. 물론 이는 실패할 수 있습니다. +x 비트가 설정되지 않았을 수 있습니다.
로그 파일을 실행하지 않고 읽고 싶습니다. 노력하다 sudo less /var/log/rkhunter.log.