লিনাক্স সার্ভার রুটকিটস / ব্যাকডোর / বোটনেটস ইত্যাদি থেকে পরিষ্কার কিনা তা কীভাবে পরীক্ষা করবেন?

9

যদি কোনও লিনাক্স সার্ভার এক সপ্তাহের জন্য চূড়ান্ত নিম্ন সুরক্ষা নীতি (r / w বেনামে সাম্বা ফোল্ডার, ফায়ারবার্ড ডাটাবেস সার্ভার, ডিফল্ট অ্যাডমিন পাসওয়ার্ড সহ কোনও ফায়ারওয়াল ইত্যাদি) ইন্টারনেটে প্রকাশিত হয় তবে আমি কীভাবে নিশ্চিত যে সিস্টেমটি আছে সম্পূর্ণ বিন্যাস এবং পুনরায় ইনস্টল না করে আপস করেননি, কেবল এসএসএইচ দিয়ে এটি দূরবর্তীভাবে অ্যাক্সেস করবেন?

linux  ubuntu  security  rootkit  botnet 
ইভান
সূত্র

উত্তর:

7

সাধারণত আমি চেক্রোটকিট-এর মতো একটি সরঞ্জাম দিয়ে স্থানীয় চেকের পরামর্শ দিই তবে যদি চেকটি চালানোর একমাত্র উপায় দূরবর্তীভাবে এটি করা হয়, তবে আমি আপনাকে সুপারিশ করব যে পরিবর্তে রুটকিট হান্টার চেষ্টা করুন ।

রুকিট হান্টার নীচের মতো পরীক্ষাগুলি চালিয়ে রুটকিটস এবং এই জাতীয় ক্রিয়াকলাপের জন্য পরীক্ষা করেন ( আরও তথ্যের জন্য প্রকল্পের তথ্য দেখুন):

  • MD5 হ্যাশ তুলনা
  • রুটকিট দ্বারা ব্যবহৃত ডিফল্ট ফাইলগুলি সন্ধান করুন
  • বাইনারিগুলির জন্য ভুল ফাইল অনুমতি
  • এলকেএম এবং কেএলডি মডিউলগুলিতে সন্দেহজনক স্ট্রিং সন্ধান করুন
  • লুকানো ফাইলগুলি সন্ধান করুন

আমি এটি যুক্ত করতে চাই অন্যরা যেমন বলেছে, আপনার পরিষেবার সাথে কোনও হস্তক্ষেপ করা হয়নি তা নিশ্চিত করার একমাত্র নিশ্চিত উপায় এটি আবার তৈরি করা ild এই সরঞ্জামগুলি ভালভাবে কাজ করে তবে এগুলি সাফল্যের 100% গ্যারান্টি নয়।

runlevelsix
সূত্র
2

আমি জানি এই উত্তরটি আপনি শুনতে চান তা নয় তবে আমরা এখানে যাই। কিছু সরঞ্জাম রয়েছে যা সিস্টেমটি পরিষ্কার করার বিষয়টি নিশ্চিত করার সর্বোত্তম উপায়টি সার্ভারটি মুছতে এবং পুনর্নির্মাণ করতে পারে। আমি নিম্নলিখিত করতে হবে:

  • ইন্টারনেট থেকে কম্পিউটার সরিয়ে দিন
  • ডিভাইসগুলি অপসারণ করতে ব্যাকআপ ডেটা এবং কনফিগার তথ্য
  • ফর্ম্যাট স্টোরেজ
  • বেস / স্ট্যান্ডার্ড সেটআপ / আপডেটগুলি পুনরায় ইনস্টল করুন
  • রেফারেন্স হিসাবে পুরানো ডেটা ব্যবহার করে সার্ভারটি পুনরায় কনফিগার করুন
  • ব্যবহারকারীর তথ্য পুনরুদ্ধার করা

এখানে কিছু সংস্থান রয়েছে যা আপনি ইতিমধ্যে না থাকলে আমি পড়া শুরু করব।

[লিঙ্ক পাঠ্য] [1] লিঙ্ক পাঠ্য লিঙ্ক পাঠ্য লিঙ্ক পাঠ্য

[1]: http://www.sans.org/reading_room/ whitepapers/linux/linux-rootkits-beginners- ভাষ্য-রেখাঙ্কন_901 "লিনাক্স রুটকিটস প্রারম্ভিক"

JJ01
সূত্র
2

এছাড়াও আপনি যে উত্তর চান তা নয় তবে যদি কোনও সিস্টেমের শিকড় তৈরির সম্ভাবনা থাকে তবে সিস্টেমটি 100% নিশ্চিত হওয়া খুব কঠিন হতে পারে। রুটকিটগুলি সনাক্ত করা কঠিন হওয়ার জন্য ডিজাইন করা হয়েছে। আপনি যদি বিভিন্ন রুট চেকার পরিচালনা করেন এবং এটি পরিষ্কার পরীক্ষা করে দেখায় তবে আপনার সিস্টেমটি পরিষ্কার "সম্ভবত"।

সুরক্ষা যদি উদ্বেগের বিষয় থাকে তবে উপরের পোস্টার যেমন ঠিক বলেছেন বা এটি ভাল ব্যাকআপ থেকে পুনরুদ্ধার করা হবে তেমন আমি এটি পুনর্নির্মাণ বিবেচনা করব।

USACASD
সূত্র
1

আপনার এখানে সত্যই প্র্যাকটিভ হওয়া দরকার। মেশিনে রুটকিটগুলি সনাক্ত করার কোনও নির্ভরযোগ্য উপায় নেই, সুতরাং আপনাকে সেগুলি প্রথম স্থানে পৌঁছে দেওয়া এবং প্রবেশের সময় সনাক্তকরণের উপায়গুলি খুঁজে পাওয়া দরকার (যেমন ট্রিপওয়্যারের মাধ্যমে এবং লকড ইন্টারফেসের মাধ্যমে)।

যদি আপনি মনে করেন যে কোনওভাবেই কোনও মেশিন শোষণ করা হয়েছে, তবে আপনাকে সত্যই পুনরায় ইনস্টল করতে হবে - পুনরায় ইনস্টল করার স্বল্পতা এটিকে পরিষ্কার করার কোনও গ্যারান্টিযুক্ত উপায় নেই। এখন পর্যন্ত সবচেয়ে নিরাপদ বিকল্প।

অ্যাডাম গিবিনস
সূত্র
1

আরখুন্টার, ট্রিপওয়ায়ার ইত্যাদি দুর্দান্ত, তবে ঘটনার আগে তারা ইনস্টল করা থাকলে কেবল উপকার হবে - এটি মূল ফাইলগুলি পরিবর্তিত হয়েছে কিনা তা সনাক্ত করার জন্য তারা দুর্দান্ত। আপনি যদি এখনই আরকেহান্টার ইনস্টল করেন এবং এটি চালনা করেন তবে এটি অনেকগুলি রুটকিটগুলির অন্তর্ভুক্তি সনাক্ত করতে পারে তবে এটি কোনও OSD বা আপনার ব্যবহৃত অ্যাপ্লিকেশনগুলিতে আক্রমণকারী খোলা কোনও বাড়ির দরজা সনাক্ত করতে পারে না।

উদাহরণস্বরূপ, আপনি একটি কম্পিউটারে ঝাঁকুনি করতে পারেন, একটি নতুন ব্যবহারকারী তৈরি করতে পারেন, তাদের এসএসএইচ এবং সুডো অনুমতি দিতে পারেন, এবং তারপরে একটি বৈধ দেখতে কনফিগারেশন রেখে স্থির করে পরিষ্কার করতে পারেন, এবং কোনও রুটকিটস - তারপরে ফিরে আসুন এবং আপনার মন্দ কাজ করতে পারেন।

করণীয় সর্বোত্তম বিষয় হ'ল কী কী বন্দরে পরিষেবাগুলি সেগুলি শুনছে সেগুলি দেখুন, তারপরে সেই সমস্ত পরিষেবাদির কনফিগারেশনটি দেখুন এবং নিশ্চিত করুন যে সেগুলি সমস্ত বৈধ কিনা। তারপরে আপনার ফায়ারওয়াল কনফিগারেশনটি দেখুন এবং আপনার প্রয়োজন নেই এমন পোর্টগুলি লকডাউন করুন এবং বাইরেও ound তারপরে আর কে হান্টার ইত্যাদি ইনস্টল করে দেখুন যে কোনও স্ক্রিপ্ট-কিডি সেখানে মেসে করে কোনও রুট কিট ফেলেছে কিনা।

প্রকৃতপক্ষে বলতে গেলে, কম্পিউটারের সাথে আপোস হয়নি বলে একেবারে নিশ্চিত করার চেয়ে জেজে প্রস্তাবিত এবং পুনর্নির্মাণের কাজ করা সম্ভবত কম কাজ। এটি সেই ডেটা যা মূল্যবান, ওএস এবং কনফিগারেশন নয় (সেট আপ করার সময়টির সময় ব্যতীত))

আপনি কখনই নিশ্চিত হতে পারবেন না যে এটি আপনার চেয়ে স্মার্ট কেউ ফাটল না।

dunxd
সূত্র
0

প্রথম পদক্ষেপটি সত্যই rkhunter / chkrootkit হওয়া উচিত, তবে আমি অতীতে বিশেষ প্যাকেজ পরিচালকদের মধ্যে নির্মিত বৈশিষ্ট্যগুলির সাথে ভাগ্যও পেয়েছি, উদাহরণস্বরূপ 'rpmverify' যা আপনার সিস্টেমের সমস্ত প্যাকেজগুলির মধ্যে যাবে এবং এটি পরীক্ষা করবে তারা অন্তর্ভুক্ত করা ফাইলগুলির MD5Sums ডিস্কের ফাইলগুলির থেকে পৃথক নয়।

মূল বাইনারিগুলির আরপিএম বা ডিপিকেজি ডাটাবেসগুলিতে যা নির্দিষ্ট করা হয়েছে তার সাথে সত্যই অভিন্ন MD5 থাকতে হবে, সুতরাং যদি তারা আলাদা হয় তবে আপনি জানেন যে কিছু অদ্ভুত চলছে।

JamesHannah
সূত্র
-1

আপনার চলমান সিস্টেমটি আপোস করেছে কিনা তা নির্ধারণের সবচেয়ে কার্যকর উপায় হ'ল দ্বিতীয় বর্ণন ব্যবহার করা । এটি কার্নেল এবং সমস্ত চলমান সফ্টওয়্যার মেমোরিতে যাচাই করবে এটি নিশ্চিত করার জন্য যে তারা বিতরণ বিক্রেতাকে যা প্রেরণ করেছে তার সাথে তারা সামঞ্জস্য রয়েছে। এটি rkunter, chkrootkit ইত্যাদির চেয়ে অনেক বেশি ভাল পদ্ধতির যা নির্দিষ্ট পরিচিত সংক্রমণের নিদর্শনগুলির সন্ধান করে । দ্বিতীয় বর্ণ অপারেটিং সিস্টেমের অখণ্ডতা সম্পর্কে কোনও অনুমান করে না, সুতরাং কোনও ঘটনার আগে আপনার এটি ব্যবহার বা ইনস্টল করার দরকার নেই।

(অস্বীকৃতি: আমি দ্বিতীয় বর্ণের প্রধান বিকাশকারী))

অ্যান্ড্রু টেপার্ট
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.