Debian - 警告:可能安裝了 LKM 木馬
我每天晚上 3:04 執行 chkrootkit。超過 1 年沒有返回任何問題,但 1 個月前開始出現此警告:
======================= Checking `lkm'... You have 1 process hidden for readdir command You have 1 process hidden for ps command chkproc: Warning: Possible LKM Trojan installed =======================現在我每小時執行一次 chkrootkit
3:02 3:03 3:04 3:05其他時間沒有警告,但每週 2-3 次 chkrootkit 在 3:02 或 3:04 返回此警告。1 分鐘後的下一次掃描不會返回此警告。有任何想法嗎?為什麼這個警告會在凌晨 3 點出現?有什麼方法可以執行 chkrootkit 以顯示有關隱藏程序的更多資訊?
是的,我知道有很多文章說這可能是誤報,但為什麼這個警告開始如此頻繁地出現?
Rkhunter、Clamav、LFD/CSF 沒有報告伺服器上的任何問題。
我認為這裡的任何人都不可能正確地找出您的系統出了什麼問題,除非我們可以直接訪問。
你可以假設這是一個誤報,這很可能就是這種情況。根據我的經驗,我也有過奇怪的誤報,經過一些調查,我滿意地向自己確認這確實是誤報。出於完全正當的原因,某些程序可以從 ps 命令中隱藏。而且往往是短暫的。
但是,如果您想確定可以執行如下所述的操作。我知道這有點極端,可能根本不適用於您的情況,但我不能確定,這是您需要做出的決定。
我個人從Securing Debian Manual中吸取了很多關於在這種和其他情況下做什麼的智慧,尤其是在你的情況下檢查第 11 章 - 妥協之後
一般的建議是首先從網路中拔出受感染的系統,然備份份系統。然後進行更多調查。這應該是一個單獨的活動,不需要妨礙系統恢復。嘗試找出它是如何受到損害的是個好主意。
同時徹底擦除系統,從非可疑的只讀源(例如 dvd)重新安裝作業系統,並僅從備份中恢復您可以確定沒有被感染的數據。如果此類數據包含在儲存庫中,則只需從那裡檢索它而不是備份。
假設系統上的任何文件及其備份都是可疑的,並儘可能嘗試在不從備份中復製文件的情況下恢復它。只需重複您所做的,複製粘貼文本等即可恢復配置文件。