Arch Linux 的服务器被挖矿木马入侵过,已经清理干净(资源占用正常了),上面已经有很多数据散落在各处了,重装非常不方便,如何在不重装的情况下排查还有没有其它恶意程序残留(最怕的是盗取数据的这类)?
dfgxcvbcv · 2022-06-05 02:04:53 +08:00 · 2885 次点击这是一个创建于 902 天前的主题,其中的信息可能已经有所发展或是发生改变。
因为是几个人一起用的,已经用比较久了,重装非常不方便,因此不考虑重装。
 |
1
eason1874 2022-06-05 03:57:35 +08:00  2
有的木马会修改系统内核文件植入激活程序,隔相当长的时间才触发。除非你事先有备份可以自动对比文件,否则排查工作量之大远超你迁移散落在系统各处的数据
不如备份数据,然后把系统做个镜像,下载下来。重做系统,启动,缺少哪个就在镜像文件里找,再上传上去 |
 |
2
xyjincan 2022-06-05 07:42:01 +08:00 via Android
用 docker ,虚拟机好,环境分离
|
 |
3
jousca 2022-06-05 08:49:32 +08:00
如一楼老哥所言,Linux 最大的问题就是被黑了之后难以自查。不像 windows 有 SFC 自查机制。
|
 |
4
L4Linux 2022-06-05 08:58:54 +08:00 via Android
看一看有没有非个人目录可执行文件被包持有?没有的全删,有的删了之后把包重装。当然是用 pacstrap 操作。
|
 |
5
timpaik 2022-06-05 09:15:01 +08:00 via Android
pacman -Qkk 可以简单校验,你也可以通过 pacman -Qqn | pacman -S - 来重新安装所有软件包(前提是没装 AUR 里的,如果有点话可能得手动重装)
|
 |
6
learningman 2022-06-05 13:41:49 +08:00
rootkit 删不干净的,数据备份出来重装吧
备份出来的数据都要查一查,js php 这种的可能被植入了脚本 |
 |
7
wd 2022-06-05 15:27:27 +08:00 via iPhone
重装显然比不重装方便多了
|
 |
8
vB4h3r2AS7wOYkY0 2022-06-05 16:49:57 +08:00 2
首先排除重要目录下非 pacman 管理的文件( `/boot /etc /usr /var /opt`)当然有些文件是运行时生成或者 `pacman.hook` 生成的,注意辨别:
``` # fd | pacman -Qo - 1>/dev/null ``` 有些目录例如 `/etc/ssl` 的可以在 fd 后面 -E 排除 然后用 paccheck 检查文件 sha256 防止篡改(`community/pacutils`): ``` # paccheck --sha256sum 1>/dev/null ``` 仔细检查一遍没啥问题就 OK 了。 |
 |
9
vhus 2022-06-05 18:21:45 +08:00
赞同一楼,排查的工作量大于重建。
|
 |
10
424778940 2022-06-05 20:23:59 +08:00
pacman -Syyuu $(pacman -Qq)
上面的命令可以重装目前所有安装的包 pacman 默认是即便安装了也重新安装的 所以不需要其他参数 不过还是重装好 因为如果不是包而是配置文件被加了料 你也不能全都覆盖掉吧 那和重装也没什么区别了 |
 |
11
c0xt30a 2022-06-06 01:36:08 +08:00
我会默认这个系统上的所有文件都被感染了。
我可能的解决方法是,用一个虚拟光盘或者 usb-live Archlinux 重启,挂载根分区后用 pacstrap 安装一个最小系统。然后 chroot 到这个系统下用 pacman 将所有的软件包都重装一遍。最后参考楼上诸位老哥譬如 MayKiller 的做法,再次排查一下非 pacman 生成的所有文件。 |
 |
12
zx900930 2022-06-06 22:42:03 +08:00
1. 要么就假装无视发生过继续用 ( 非常不推荐
2. 要么就狠心重装, 不然你朝思暮想, 夜不能寐, 不是亏了大的 3.下次把需要持久化的数据都集中起来, 或者把应用容器化, 这样出问题了直接保留数据原地重装, 速度快还省事 为了不想重装而去各种找蛛丝马迹, 属实是费力不讨好. |
Select Language