Linuxサーバーがルートキットに攻撃された場合はどうすればいいですか？

ルートキットは、通常トロイの木馬などの他の悪意のあるプログラムと組み合わせて使用​​されるマルウェアの一種ですLinuxは、攻撃の重要な標的です。次の小シリーズでは、ルートキットに攻撃された後のLinuxサーバーの処理方法について説明します。

は、最新の&'とIT産業の発展は、今、セキュリティが重要になってきたために、

;プリズムドア'イベント、セキュリティ上の問題の多くを反映しているが、情報セキュリティは緊急になってきました運用および保守担当者として、セキュリティ運用および保守のガイドラインを理解し、同時に責任を負う事業を保護するために、まず攻撃者の観点から問題を検討し、潜在的な脅威や脆弱性を修正する必要があります。

以下は、ルートキットに侵入された後のサーバーの処理および処理のケーススタディですルートキット攻撃は、Linuxシステムで最も一般的な攻撃方法および攻撃方法です。

1.アタック現象

これは、テレコミュニケーションルームでホストされているクライアントのポータルサーバーです。顧客はテレコミュニケーションから通知を受け取ります。このサーバーはデータパケットを継続的に送信するため、100Mになります。帯域幅が使い果たされているので、電気通信はこのサーバーのネットワークを遮断します。このサーバーはCentos 5.5バージョンで、ポート80と22に開放されています。

ウェブサイトには大量のトラフィックがないため、帯域幅の使用量が多すぎず、100Mの帯域幅を使い果たすことは絶対に不可能であるため、サーバーでトラフィックが発生している可能性が非常に高いです。攻撃してから、詳細なテストのためにサーバーにログインします。

2、予備分析

テレコム担当者の協力を得て、サーバーのネットワークトラフィックがスイッチを介して検出され、ホストに外部80ポートのスキャントラフィックがあることが判明したため、ログインシステムは通過します。 netstat–'コマンドは、システム上で開いているポートをチェックします奇妙なことに、ポート80に関連するネットワーク接続が見つかりません。その後、' ps– ef'、' top'コマンドを使用して、疑わしいプロセスを見つけないでください。それでは、システムにルートキットが埋め込まれているのでしょうか。

システムがルートキットに根ざしているかどうかを証明するために、Webサーバーおよび以前のバージョンの信頼できるオペレーティングシステムコマンドの下で、ps、topコマンドなどのmd5sumチェックを行いました。これら2つのコマンドは実際に修正されており、このサーバーは危険にさらされており、ルートキットレベルのバックドアがインストールされていると結論付けられます。

3、ネットワーク分析システム

サーバーはパケットの送信を停止しないため、まずサーバーをネットワークから切断し、システムログを分析して攻撃の原因を特定します。これを回避するには、2つの方法がありますが、これは回避するための2つの方法です。セキュアホストで分析するもう1つの方法は、同じバージョンの信頼できるオペレーティングシステムから侵入サーバの下のパスにすべてのコマンドをコピーしてから、コマンドを実行するときにコマンドのフルパスを指定することです。ここでは、2番目の方法が使用されます。

最初にシステムのログインログを調べて、疑わしいログイン情報があるかどうかを確認しました。次のコマンドを実行します。

more /var /log /secure