Um intruso tentou instalar um rootkit na minha caixa. Eu quero de volta, antes da reinstalação. Como faço para substituir arquivos inválidos instalados pelo invasor? Eu não posso chown ou rm eles. Diz "Operação não permitida" em rm, chown, mv ou similar. Estou executando o sarge debian.
Edit: chattr mostra alguns sinalizadores (s, i e a), mas removê-los não ajuda. Edite novamente: minha culpa, desculpe, o chattr funcionou. Eu não sei o que vi.
Primeiro, tente "chattr" os arquivos e / ou os diretórios onde os arquivos estão localizados.
Além disso, no caso de um rootkit, é melhor uma instalação limpa (um amigo tem "rootkited" e o código desagradável está no binário "ls" e executado em todos os "ls").
Mais tarde: Em uma segunda tentativa, você deve tentar inicializar um LiveCD / LiveUSB, montá-lo e editá-lo / digitalizá-lo.
A reinstalação é a ação apropriada neste caso. Depois que uma caixa é comprometida, ela não é mais uma instalação confiável. Mesmo que você "pense", está limpo.
Eu faria uma cópia do disco usando dd ou uma das muitas opções de criação de imagens de disco livre disponíveis para que você possa fazer algumas análises forenses e recuperar todos os dados necessários. Então eu iria reinstalar e restaurar seus dados a partir de um backup bem conhecido. Espero que na perícia você possa descobrir como o atacante entrou e tomar medidas para garantir que isso não aconteça novamente.
Existem algumas "permissões ocultas" que normalmente não são exibidas para arquivos. Um deles é chamado de imutável e impede que o root modifique um arquivo.
O comando chattr pode ser usado para definir / limpar o sinalizador imutável, permitindo que o arquivo seja excluído normalmente.
Se houver um rootkit obstruindo a edição dos arquivos do sistema, provavelmente será necessário inicializar a partir de um Live CD (um CD real e não gravável), para que você possa montar o sistema de arquivos quebrado (enraizado) e trabalhar com ele o software administrativo do software Live CD, corrigindo os problemas.
Ou, mais provavelmente, você deve inicializar a partir do Live CD e recuperar os arquivos necessários para uma mídia de backup, antes de fazer uma reinstalação completa. Se você foi enraizado, então tudo é suspeito - uma reinstalação completa é sensata.
Você também deve analisar quais vulnerabilidades permitiram que você fosse rooteado - porque se você não alterar algo (o correto), o invasor poderá inserir seu rootkit novamente.
Tags permissions hacking linux