คำถามติดแท็ก rootkit

ฉันกำลังคิดที่จะวางเซิร์ฟเวอร์ linux ทั้งหมดของฉันภายใต้การควบคุมเวอร์ชันโดยใช้ git เหตุผลเบื้องหลังคือว่าเป็นวิธีที่ง่ายที่สุดในการตรวจจับการแก้ไข / รูทคิทที่เป็นอันตราย ทั้งหมดที่ฉันคิดว่าไร้เดียงสามีความจำเป็นต้องตรวจสอบความสมบูรณ์ของระบบ: ติดตั้งพาร์ทิชัน linux ทุกสัปดาห์หรือมากกว่านั้นโดยใช้ระบบช่วยเหลือตรวจสอบว่าที่เก็บ git นั้นยังไม่ถูกปรับปรุงและออกสถานะ git เพื่อตรวจสอบการเปลี่ยนแปลงใด ๆ . นอกเหนือจากของเสียที่เห็นได้ชัดในพื้นที่ดิสก์แล้วมีผลข้างเคียงอื่น ๆ อีกหรือไม่? มันเป็นความคิดที่บ้าอย่างสิ้นเชิง? มันเป็นวิธีที่ปลอดภัยในการตรวจสอบกับรูทคิทเพราะอย่างน้อยที่สุดฉันจะต้องยกเว้น / dev และ / proc อย่างน้อยที่สุด?

17 linux  security  git  rootkit 

ฉันมีไฟล์ไวรัสบางไฟล์ที่สร้างขึ้นแบบสุ่มบน root ของ ac: ดิสก์ของเซิร์ฟเวอร์ใดเซิร์ฟเวอร์หนึ่งของฉัน ฉันจะรู้ได้อย่างไรว่าอะไรสร้างขึ้นมา? ซอฟต์แวร์ของบุคคลที่สามบางอย่างอาจจะ?

12 windows  malware  rootkit 

เมื่อเซิร์ฟเวอร์ได้รับการฝังราก ( เช่นสถานการณ์เช่นนี้ ) ซึ่งเป็นหนึ่งในสิ่งแรกที่คุณอาจตัดสินใจที่จะทำคือการบรรจุ ผู้เชี่ยวชาญด้านความปลอดภัยบางคนไม่แนะนำให้เข้าสู่การแก้ไขทันทีและทำให้เซิร์ฟเวอร์ออนไลน์จนกว่าการนิติเวชจะเสร็จสมบูรณ์ ผู้ให้คำแนะนำแก่มักจะสำหรับAPT มันแตกต่างกันถ้าคุณมีการรั่วไหลของkiddie Scriptเป็นครั้งคราวดังนั้นคุณอาจตัดสินใจแก้ไข (แก้ไขสิ่งต่าง ๆ ) ก่อน หนึ่งในขั้นตอนในการแก้ไขคือการควบคุมเซิร์ฟเวอร์ การอ้างอิงจากคำตอบของ Robert Moir - "ตัดการเชื่อมต่อกับเหยื่อจากมิจฉาชีพ" เซิร์ฟเวอร์สามารถที่มีอยู่โดยดึงสายเคเบิลเครือข่ายหรือสายไฟ วิธีไหนดีกว่ากัน? คำนึงถึงความจำเป็นในการ: ปกป้องผู้ที่ตกเป็นเหยื่อจากความเสียหายต่อไป การดำเนินการทางนิติวิทยาศาสตร์ที่ประสบความสำเร็จ (อาจเป็นไปได้)การปกป้องข้อมูลที่มีค่าบนเซิร์ฟเวอร์ แก้ไข: 5 ข้อสมมติฐาน สมมติว่า: คุณตรวจพบเร็ว: 24 ชั่วโมง คุณต้องการกู้คืนก่อนกำหนด: 3 วันจาก 1 ระบบผู้ดูแลระบบในงาน (นิติเวชและการกู้คืน) เซิร์ฟเวอร์ไม่ได้เป็นเครื่องเสมือนหรือคอนเทนเนอร์ที่สามารถถ่ายภาพหน้าจอที่จับเนื้อหาของหน่วยความจำเซิร์ฟเวอร์ คุณตัดสินใจที่จะไม่พยายามดำเนินคดี คุณสงสัยว่าผู้โจมตีอาจใช้ซอฟต์แวร์บางรูปแบบ (อาจซับซ้อน) และซอฟต์แวร์นี้ยังคงทำงานบนเซิร์ฟเวอร์

11 rootkit  security 

ในกรณีที่เซิร์ฟเวอร์ Linux ถูกเปิดเผยต่ออินเทอร์เน็ตที่มีนโยบายความปลอดภัยต่ำมาก (โฟลเดอร์ Samba นิรนาม, เซิร์ฟเวอร์ฐานข้อมูล Firebird ด้วยรหัสผ่านผู้ดูแลระบบเริ่มต้น, ไม่มีไฟร์วอลล์ ฯลฯ ) เป็นเวลาหนึ่งสัปดาห์จากนั้นฉันจะแน่ใจได้อย่างไรว่าระบบนั้นเป็น ไม่ประนีประนอมโดยไม่มีการฟอร์แมตแบบเต็ม & ติดตั้งใหม่เข้าถึงแบบระยะไกลผ่าน SSH เท่านั้นหรือไม่

9 linux  ubuntu  security  rootkit  botnet