Rootkit 請求救

各位師兄求救

情況係咁

今早小弟返到公司全個NETWORK DOWN左, 想LOGIN入隻FIREWALL到睇完全入唔到. 仲以為比人DDOS

咁好啦第一件事緊係關左部WEB SERVER 先, 關左就完全無事. 入得返隻FIREWALL, 睇返D LOG原來係隻WEB SERVER 狂SEND 野出街. 隻FIREWALL都比佢整死

現在我只可以DISCONNECT 隻WEB SERVER 等佢唔好再整死隻FIREWALL

各位師兄有冇乜野計可以知乜事? 我有個朋友問係唔係中左ROOTKIT
我想請問我可以點CHECK 同我可以點清呢?

萬分感謝

各位師兄求救

情況係咁

今早小弟返到公司全個NETWORK DOWN左, 想LOGIN入隻FIREWALL到睇完全入唔到. 仲以 ...
XJAPAN83 發表於 2014-10-14 21:46


Insufficient information to provide advise or comment.

Samiux

TOP

Insufficient information to provide advise or comment.

Samiux
samiux 發表於 2014-10-14 21:59



    師兄請問我可以比D 乜野您地呢? 因為我對LINUX不太熟識呢

TOP

師兄請問我可以比D 乜野您地呢? 因為我對LINUX不太熟識呢
XJAPAN83 發表於 2014-10-14 22:06


Any information that available to you for analysis.

Samiux

TOP

Any information that available to you for analysis.

Samiux
samiux 發表於 2014-10-14 22:07


這個是FIREWALL的SCREENCAP
192.168.88.209 是我的LINUX WEBSERVER 當我一把SERVER連上時就會不停有這樣的CONNECTION出現.......
不用2分鐘FIREWALL 就死了....
附件: 您需要登錄才可以下載或查看附件。沒有帳號?註冊

TOP

這個是FIREWALL的SCREENCAP
192.168.88.209 是我的LINUX WEBSERVER 當我一把SERVER連上時就會不停有這樣 ...
XJAPAN83 發表於 2014-10-14 22:12



    埋機login後開terminal行 ps auxww 然後dump個screen睇下

TOP

我不是保安專家,只是system admin, 我之前都有次同樣的經歷,有朋友公司半夜求救,跟住發現隻Linux web server 入面比人仲咗個rootkit, 佢套嘢放得好入,果陣佢仲未搶倒 root privilege 就咁將個rootkit hidden 咗响tmp 狂run, 之後解決方法用lsof 及 netstat / top 揾邊個process有connection 出街, 之後再殺, 但殺完好快又出返黎, 可能漏洞未補,咁就另一個問題

回覆 1# XJAPAN83

TOP

本帖最後由 XJAPAN83 於 2014-10-15 12:01 編輯

回覆 6# roytam1


    太長我EXPORT左去TXT
http://x-japan.sytes.net/auxww.txt


我今日INSTALL左個ROOTKIT HUNTER去SCAN 但係SCAN唔到有ROOTKIT, 其他又唔係好識睇

有冇師兄可以幫個忙呢?!
http://x-japan.sytes.net/rkhunter.txt
萬分感激

TOP

回覆  roytam1


    太長我EXPORT左去TXT



我今日INSTALL左個ROOTKIT HUNTER去SCAN 但係SCAN唔到有ROOT ...
XJAPAN83 發表於 2014-10-15 11:57



    你可能要插返network線,firewall度見到有野時埋機行 netstat -apn 睇睇

TOP

本帖最後由 crud 於 2014-11-13 15:33 編輯

local login, 開iptables, block 全機network

    iptables -X
    iptables -F
    iptables -Z

    iptables -A INPUT -j DROP
    iptables -A OUTPUT -j DROP
    iptables -A FORWARD -j DROP

先lsof, 再crosscheck netstat -apn --inet

firewall 還有traffic 就可能係係kernel rootkit, 可以check kernel module有沒有古怪

    lsmod

沒發現的話, 最好restore backup, 再裝aide, 定期做integrity check

TOP

相關文章