내 관리자 계정에 로그인하려고 하는데 비밀번호가 올바르지 않다고 나옵니다. USB 드라이브에서 복사하여 붙여넣었으므로 틀릴 수 없습니다. 비밀번호를 재설정하고 chkrootkit을 설치했는데 루트킷에 감염된 것을 발견했습니다. 그러면 chkrootkit에서 보고한 파일을 직접 삭제하려면 어떻게 해야 합니까? 터미널 출력은 다음과 같습니다.
user1@user1-linux ~ $ sudo chkrootkit
[sudo] password for username:
ROOTDIR is `/'
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not found
Checking `chfn'... not infected
Checking `chsh'... not infected
Checking `cron'... not infected
Checking `crontab'... not infected
Checking `date'... not infected
Checking `du'... not infected
Checking `dirname'... not infected
Checking `echo'... not infected
Checking `egrep'... not infected
Checking `env'... not infected
Checking `find'... not infected
Checking `fingerd'... not found
Checking `gpm'... not found
Checking `grep'... not infected
Checking `hdparm'... not infected
Checking `su'... not infected
Checking `ifconfig'... not infected
Checking `inetd'... not infected
Checking `inetdconf'... not found
Checking `identd'... not found
Checking `init'... not infected
Checking `killall'... not infected
Checking `ldsopreload'... not infected
Checking `login'... not infected
Checking `ls'... not infected
Checking `lsof'... not infected
Checking `mail'... not found
Checking `mingetty'... not found
Checking `netstat'... not infected
Checking `named'... not found
Checking `passwd'... not infected
Checking `pidof'... not infected
Checking `pop2'... not found
Checking `pop3'... not found
Checking `ps'... not infected
Checking `pstree'... not infected
Checking `rpcinfo'... not found
Checking `rlogind'... not found
Checking `rshd'... not found
Checking `slogin'... not infected
Checking `sendmail'... not found
Checking `sshd'... not found
Checking `syslogd'... not tested
Checking `tar'... not infected
Checking `tcpd'... not infected
Checking `tcpdump'... not infected
Checking `top'... not infected
Checking `telnetd'... not found
Checking `timed'... not found
Checking `traceroute'... not found
Checking `vdir'... not infected
Checking `w'... not infected
Checking `write'... not infected
Checking `aliens'... no suspect files
Searching for sniffer's logs, it may take a while... nothing found
Searching for rootkit HiDrootkit's default files... nothing found
Searching for rootkit t0rn's default files... nothing found
Searching for t0rn's v8 defaults... nothing found
Searching for rootkit Lion's default files... nothing found
Searching for rootkit RSHA's default files... nothing found
Searching for rootkit RH-Sharpe's default files... nothing found
Searching for Ambient's rootkit (ark) default files and dirs... nothing found
Searching for suspicious files and dirs, it may take a while... The following suspicious files and directories were found:
/usr/lib/python3/dist-packages/PyQt4/uic/widget-plugins/.noinit /usr/lib/jvm/.java-1.7.0-openjdk-amd64.jinfo /usr/lib/python2.7/dist-packages/PyQt4/uic/widget-plugins/.noinit /usr/lib/pymodules/python2.7/.path /lib/modules/3.19.0-32-generic/vdso/.build-id
/lib/modules/3.19.0-32-generic/vdso/.build-id
Searching for LPD Worm files and dirs... nothing found
Searching for Ramen Worm files and dirs... nothing found
Searching for Maniac files and dirs... nothing found
Searching for RK17 files and dirs... nothing found
Searching for Ducoci rootkit... nothing found
Searching for Adore Worm... nothing found
Searching for ShitC Worm... nothing found
Searching for Omega Worm... nothing found
Searching for Sadmind/IIS Worm... nothing found
Searching for MonKit... nothing found
Searching for Showtee... nothing found
Searching for OpticKit... nothing found
Searching for T.R.K... nothing found
Searching for Mithra... nothing found
Searching for LOC rootkit... nothing found
Searching for Romanian rootkit... nothing found
Searching for Suckit rootkit... Warning: /sbin/init INFECTED
Searching for Volc rootkit... nothing found
Searching for Gold2 rootkit... nothing found
Searching for TC2 Worm default files and dirs... nothing found
Searching for Anonoying rootkit default files and dirs... nothing found
Searching for ZK rootkit default files and dirs... nothing found
Searching for ShKit rootkit default files and dirs... nothing found
Searching for AjaKit rootkit default files and dirs... nothing found
Searching for zaRwT rootkit default files and dirs... nothing found
Searching for Madalin rootkit default files... nothing found
Searching for Fu rootkit default files... nothing found
Searching for ESRK rootkit default files... nothing found
Searching for rootedoor... nothing found
Searching for ENYELKM rootkit default files... nothing found
Searching for common ssh-scanners default files... nothing found
Searching for suspect PHP files... nothing found
Searching for anomalies in shell history files... nothing found
Checking `asp'... not infected
Checking `bindshell'... not infected
Checking `lkm'... chkproc: nothing detected
chkdirs: nothing detected
Checking `rexedcs'... not found
Checking `sniffer'... lo: not promisc and no packet sniffer sockets
eth0: PACKET SNIFFER(/sbin/dhclient[1166])
Checking `w55808'... not infected
Checking `wted'... chkwtmp: nothing deleted
Checking `scalper'... not infected
Checking `slapper'... not infected
Checking `z2'... user user2 deleted or never logged from lastlog!
user user1 deleted or never logged from lastlog!
user user3 deleted or never logged from lastlog!
Checking `chkutmp'... The tty of the following user process(es) were not found
in /var/run/utmp !
! RUID PID TTY CMD
! rasmus 2650 pts/0 /usr/bin/xflux -l 60° -k 3400 -nofork
chkutmp: nothing deleted
Checking `OSX_RSPLUG'... not infected
혼란스러운 형식으로 인해 죄송합니다. 올바르게 표시하는 방법을 모르겠습니다. 그럼에도 불구하고 다음 파일이 감염되었습니다.
The following suspicious files and directories were found:
/usr/lib/python3/dist-packages/PyQt4/uic/widget-plugins/.noinit /usr/lib/jvm/.java-1.7.0-openjdk-amd64.jinfo /usr/lib/python2.7/dist-packages/PyQt4/uic/widget-plugins/.noinit /usr/lib/pymodules/python2.7/.path /lib/modules/3.19.0-32-generic/vdso/.build-id
/lib/modules/3.19.0-32-generic/vdso/.build-id
Searching for Suckit rootkit... Warning: /sbin/init INFECTED
또한 의심스러운 활동을 기록하도록 방화벽 설정을 변경했습니다. 저는 지금 Windows를 사용하고 있습니다. Windows 파티션으로 확산되지 않기를 바랍니다.
편집: 저는 Linux Mint를 개인 OS로 사용하므로 네트워크는 영향을 받지 않습니다. 저는 그냥 드라이브를 닦습니다.
답변1
웹에서 일부 검색 결과가 제안됨가능한잘못된 경보일 가능성이 높습니다. 버전을 확인하세요 chkrootkit
:
$ chkrootkit -V
버전보다 낮은 경우 0.50
거짓 긍정을 반환할 수 있습니다 Suckit
.여기버그보고를 위해.
게다가 민트 홈페이지도 지적됐다.타협하는~에2016년 2월 20일ISO 이미지에 백도어가 있는데 이것이 보고하는 내용과 어떤 관련이 있는지 잘 모르겠습니다. 하지만 여전히 시도해 볼 수 있습니다.
ISO가 손상되었는지 확인하는 방법은 무엇입니까?
아직 ISO 파일이 있는 경우 "md5sum yourfile.iso"(여기서 yourfile.iso는 ISO 이름임) 명령을 사용하여 MD5 서명을 확인하세요.
이것유효한 서명다음과 같이:
6e7f7e03500747c6c3bfece2c9c8394f linuxmint-17.3-cinnamon-32bit.iso
e71a2aad8b58605e906dbea444dc4983 linuxmint-17.3-cinnamon-64bit.iso
30fef1aa1134c5f3778c77c4417f7238 linuxmint-17.3-cinnamon-nocodecs-32bit.iso
3406350a87c201cdca0927b1bc7c2ccd linuxmint-17.3-cinnamon-nocodecs-64bit.iso
df38af96e99726bb0a1ef3e5cd47563d linuxmint-17.3-cinnamon-oem-64bit.iso
구운 DVD 또는 USB 스틱이 아직 있는 경우 이를 사용하여 컴퓨터 또는 가상 머신을 오프라인으로 부팅하고(의심스러운 경우 라우터를 끄고) 라이브 세션을 로드하도록 하세요.
라이브 세션에서 ISO에 파일이 있으면
/var/lib/man.cy
이는 감염된 ISO입니다.
마지막으로, 이러한 파일은 수년 동안 손상되었으며 검사 이상을 수행하는 것이 더 나을 것이므로 파일 무결성을 확인하는 데 자신감 MD5
이나 합계가 없습니다 . SHA-1
SHA-256
답변2
일반적으로 Linux 루트킷이 Windows 시스템으로 확산되는 것에 대해 걱정할 필요는 없지만, 감염된 네트워크가 해당 네트워크의 모든 시스템에서 유사한 문제를 일으킬 수 있다는 점을 알아야 합니다.
삭제하지 마세요/sbin/초기화! 시작/종료를 제어하므로 이를 제거하면 시스템을 부팅할 수 없게 됩니다.
chkrootkit은 서명만 찾고 알려진 루트킷 파일이 있는지 확인하지 않으므로 오탐이 발생하기 쉽습니다. Java는 다른 많은 프로그래밍 도구와 마찬가지로 이러한 오탐지를 유발하는 것으로 악명이 높습니다.
rkhunter를 설치하고 시스템에서 서명 파일을 검색하므로 시스템을 검사하는 것이 좋지만 잘못된 긍정이 발생하기 쉬우므로 해당 파일이 해당 파일에 속하는지 다시 확인하지 않고 너무 빨리 파일을 삭제하지 마십시오.
배포판에 livecd가 있는 경우 일반적으로 /sbin/init를 시스템에 복사하면 정상적으로 부팅되지만 보장할 수는 없습니다.
개인적으로, 네트워크 방화벽 역할을 하는 시스템에서 비밀번호가 유출된 것이 확실하다면 새로 설치를 선택하고 시스템을 보호하기 위해 보다 철저한 조치를 취할 것입니다.
chkrootkit 및 rkhunter와 같은 도구는 기본 진입점보다는 엔드포인트 시스템, 특히 가정 사용자에게 더 유용한 경향이 있습니다. 주로 핵심적으로 보안 세계에서 항상 새로운 개발을 추구하므로 최신 활용을 차단하지 않기 때문입니다. .
방화벽이 루팅되면 네트워크의 모든 시스템을 확인하는 것도 중요합니다. Linux 방화벽은 비밀번호를 변경하여 사용자를 차단할 수 있지만 Windows 시스템도 쉬운 표적이 됩니다.
이 노골적인 공격은 공격자가 잠긴 시스템에 귀하를 협박하려는 의도를 가지고 있다는 것을 의미할 수 있으므로 금전을 요구하는 메시지가 포함되어 있을 수 있는 이메일 로그를 확인하고 해당 문제를 해당 지역의 당국에 신고하는 것이 좋습니다. 이러한 그룹을 추적하는 데 도움을 줄 수 있도록 구역을 지정합니다.
답변3
감염된 디스크의 이미지를 촬영하고 이미지의 오프라인 복사본에 대한 sleuthkit의 부검을 사용하여 타임라인을 만들고 /sbin/init 파일이 변경될 때 파일 시스템 변경 사항을 찾는 것이 좋습니다. Perp/루트킷은 수정, 액세스 및 생성 타임스탬프를 중지할 수 있지만 최소한 그들이 원하는 것이 무엇인지는 이해할 수 있습니다. - 장치를 봇, 랜섬웨어로 바꾸거나 네트워크를 검색하세요.
http://www.sleuthkit.org/autopsy/docs/quick/을 참조하세요.
아니면 실제로 무슨 일이 일어났는지 알려줄 수 있는 현지 공인 사이버 포렌식 전문가를 고용하세요.
답변4
루트킷을 처리하는 가장 좋은 방법은 드라이브를 지우는 것입니다. 그러나 데이터의 중요성에 따라 다릅니다. 다른 SU/루트 계정을 생성하고 루트킷을 실행하는 계정의 권한을 비활성화/제거할 수 있습니다.
오탐지를 다시 확인하셨나요?