Arch Linux 的服务器被挖矿木马入侵过,已经清理干净(资源占用正常了),上面已经有很多数据散落在各处了,重装非常不方便,如何在不重装的情况下排查还有没有其它恶意程序残留(最怕的是盗取数据的这类)?

2022-06-05 02:04:53 +08:00
 dfgxcvbcv

因为是几个人一起用的,已经用比较久了,重装非常不方便,因此不考虑重装。

2885 次点击
所在节点    Linux
12 条回复
eason1874
2022-06-05 03:57:35 +08:00
有的木马会修改系统内核文件植入激活程序,隔相当长的时间才触发。除非你事先有备份可以自动对比文件,否则排查工作量之大远超你迁移散落在系统各处的数据

不如备份数据,然后把系统做个镜像,下载下来。重做系统,启动,缺少哪个就在镜像文件里找,再上传上去
xyjincan
2022-06-05 07:42:01 +08:00
用 docker ,虚拟机好,环境分离
jousca
2022-06-05 08:49:32 +08:00
如一楼老哥所言,Linux 最大的问题就是被黑了之后难以自查。不像 windows 有 SFC 自查机制。
L4Linux
2022-06-05 08:58:54 +08:00
看一看有没有非个人目录可执行文件被包持有?没有的全删,有的删了之后把包重装。当然是用 pacstrap 操作。
timpaik
2022-06-05 09:15:01 +08:00
pacman -Qkk 可以简单校验,你也可以通过 pacman -Qqn | pacman -S - 来重新安装所有软件包(前提是没装 AUR 里的,如果有点话可能得手动重装)
learningman
2022-06-05 13:41:49 +08:00
rootkit 删不干净的,数据备份出来重装吧
备份出来的数据都要查一查,js php 这种的可能被植入了脚本
wd
2022-06-05 15:27:27 +08:00
重装显然比不重装方便多了
vB4h3r2AS7wOYkY0
2022-06-05 16:49:57 +08:00
首先排除重要目录下非 pacman 管理的文件( `/boot /etc /usr /var /opt`)当然有些文件是运行时生成或者 `pacman.hook` 生成的,注意辨别:

```
# fd | pacman -Qo - 1>/dev/null
```

有些目录例如 `/etc/ssl` 的可以在 fd 后面 -E 排除

然后用 paccheck 检查文件 sha256 防止篡改(`community/pacutils`):

```
# paccheck --sha256sum 1>/dev/null
```

仔细检查一遍没啥问题就 OK 了。
vhus
2022-06-05 18:21:45 +08:00
赞同一楼,排查的工作量大于重建。
424778940
2022-06-05 20:23:59 +08:00
pacman -Syyuu $(pacman -Qq)
上面的命令可以重装目前所有安装的包 pacman 默认是即便安装了也重新安装的 所以不需要其他参数
不过还是重装好 因为如果不是包而是配置文件被加了料 你也不能全都覆盖掉吧 那和重装也没什么区别了
c0xt30a
2022-06-06 01:36:08 +08:00
我会默认这个系统上的所有文件都被感染了。
我可能的解决方法是,用一个虚拟光盘或者 usb-live Archlinux 重启,挂载根分区后用 pacstrap 安装一个最小系统。然后 chroot 到这个系统下用 pacman 将所有的软件包都重装一遍。最后参考楼上诸位老哥譬如 MayKiller 的做法,再次排查一下非 pacman 生成的所有文件。
zx900930
2022-06-06 22:42:03 +08:00
1. 要么就假装无视发生过继续用 ( 非常不推荐
2. 要么就狠心重装, 不然你朝思暮想, 夜不能寐, 不是亏了大的
3.下次把需要持久化的数据都集中起来, 或者把应用容器化, 这样出问题了直接保留数据原地重装, 速度快还省事

为了不想重装而去各种找蛛丝马迹, 属实是费力不讨好.

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/857316

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX