V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
dfgxcvbcv
V2EX  ›  Linux

Arch Linux 的服务器被挖矿木马入侵过,已经清理干净(资源占用正常了),上面已经有很多数据散落在各处了,重装非常不方便,如何在不重装的情况下排查还有没有其它恶意程序残留(最怕的是盗取数据的这类)?

  •  
  •   dfgxcvbcv · 2022-06-05 02:04:53 +08:00 · 2893 次点击
    这是一个创建于 921 天前的主题,其中的信息可能已经有所发展或是发生改变。

    因为是几个人一起用的,已经用比较久了,重装非常不方便,因此不考虑重装。

    12 条回复    2022-06-06 22:42:03 +08:00
    eason1874
        1
    eason1874  
       2022-06-05 03:57:35 +08:00   ❤️ 2
    有的木马会修改系统内核文件植入激活程序,隔相当长的时间才触发。除非你事先有备份可以自动对比文件,否则排查工作量之大远超你迁移散落在系统各处的数据

    不如备份数据,然后把系统做个镜像,下载下来。重做系统,启动,缺少哪个就在镜像文件里找,再上传上去
    xyjincan
        2
    xyjincan  
       2022-06-05 07:42:01 +08:00 via Android
    用 docker ,虚拟机好,环境分离
    jousca
        3
    jousca  
       2022-06-05 08:49:32 +08:00
    如一楼老哥所言,Linux 最大的问题就是被黑了之后难以自查。不像 windows 有 SFC 自查机制。
    L4Linux
        4
    L4Linux  
       2022-06-05 08:58:54 +08:00 via Android
    看一看有没有非个人目录可执行文件被包持有?没有的全删,有的删了之后把包重装。当然是用 pacstrap 操作。
    timpaik
        5
    timpaik  
       2022-06-05 09:15:01 +08:00 via Android
    pacman -Qkk 可以简单校验,你也可以通过 pacman -Qqn | pacman -S - 来重新安装所有软件包(前提是没装 AUR 里的,如果有点话可能得手动重装)
    learningman
        6
    learningman  
       2022-06-05 13:41:49 +08:00
    rootkit 删不干净的,数据备份出来重装吧
    备份出来的数据都要查一查,js php 这种的可能被植入了脚本
    wd
        7
    wd  
       2022-06-05 15:27:27 +08:00 via iPhone
    重装显然比不重装方便多了
    vB4h3r2AS7wOYkY0
        8
    vB4h3r2AS7wOYkY0  
       2022-06-05 16:49:57 +08:00   ❤️ 2
    首先排除重要目录下非 pacman 管理的文件( `/boot /etc /usr /var /opt`)当然有些文件是运行时生成或者 `pacman.hook` 生成的,注意辨别:

    ```
    # fd | pacman -Qo - 1>/dev/null
    ```

    有些目录例如 `/etc/ssl` 的可以在 fd 后面 -E 排除

    然后用 paccheck 检查文件 sha256 防止篡改(`community/pacutils`):

    ```
    # paccheck --sha256sum 1>/dev/null
    ```

    仔细检查一遍没啥问题就 OK 了。
    vhus
        9
    vhus  
       2022-06-05 18:21:45 +08:00
    赞同一楼,排查的工作量大于重建。
    424778940
        10
    424778940  
       2022-06-05 20:23:59 +08:00
    pacman -Syyuu $(pacman -Qq)
    上面的命令可以重装目前所有安装的包 pacman 默认是即便安装了也重新安装的 所以不需要其他参数
    不过还是重装好 因为如果不是包而是配置文件被加了料 你也不能全都覆盖掉吧 那和重装也没什么区别了
    c0xt30a
        11
    c0xt30a  
       2022-06-06 01:36:08 +08:00
    我会默认这个系统上的所有文件都被感染了。
    我可能的解决方法是,用一个虚拟光盘或者 usb-live Archlinux 重启,挂载根分区后用 pacstrap 安装一个最小系统。然后 chroot 到这个系统下用 pacman 将所有的软件包都重装一遍。最后参考楼上诸位老哥譬如 MayKiller 的做法,再次排查一下非 pacman 生成的所有文件。
    zx900930
        12
    zx900930  
       2022-06-06 22:42:03 +08:00
    1. 要么就假装无视发生过继续用 ( 非常不推荐
    2. 要么就狠心重装, 不然你朝思暮想, 夜不能寐, 不是亏了大的
    3.下次把需要持久化的数据都集中起来, 或者把应用容器化, 这样出问题了直接保留数据原地重装, 速度快还省事

    为了不想重装而去各种找蛛丝马迹, 属实是费力不讨好.
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   855 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 31ms · UTC 22:12 · PVG 06:12 · LAX 14:12 · JFK 17:12
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.