Protože je systém kompromitován, nelze ničemu důvěřovat prostřednictvím nástrojů. Pokud nemáte ověřené nástroje (např. Tripwire FIM), nejlépe uděláte, když vezmete podobný systém, zkopírujete si to, co je nutné, který by měl běžet, pokud jsou systémy podobné v architektuře atd. Toto však není optimální metoda. Protože je počítač kompromitován, v závislosti na vašich dalších krocích (právo, úřady atd.) byste vytvořili forenzní obraz a poté se vypořádali s tím, co se stalo, až budete mít svou kopii. Jakmile budete mít svou kopii, musíte určit riziko spojené s uvedením systému zpět do režimu online atd.
Pokud jste zjistili, jak se útočník dostal do systému, budete muset tuto „díru“ (zranitelnost, nesprávná konfigurace) vyčistit, abyste měli jistotu, že se nevrátí. Někdy to může být časově náročnější než instalace čistého systému. Ale řekněme, že potřebujete „ten“ systém. Můžete přeinstalovat ps s něčím jako:apt-get install --reinstall procps totéž platí pro lsof. Měli byste se ujistit, že vaše repozitáře nebyly změněny a že váš DNS nesměřuje na nedůvěryhodné repo.
Z velké části k zodpovězení vaší otázky:Můžeme věřit informacím zobrazeným příkazy linuxové utility odpověď je, že byste rozhodně neměli. Tomuto systému by se mělo důvěřovat jen málo, dokud nebude provedena důkladná analýza.
Pokud byl váš systém napaden, neměli byste ničemu věřit .
Myslím, že standardní nástroje budou většinou fungovat správně, ale vynechejte věci související s procesy útočníka. Rootkity jsou navrženy tímto způsobem, takže je méně pravděpodobné, že si všimnete, že je počítač kompromitován. Takže Myslím, že jim můžete obecně věřit, že se podívají na své vlastní procesy, ale ne za to, že se ujistili, že rootkit je pryč.
Pokud útočník může načíst moduly jádra nebo jinak upravit jádro, dokonce i systémová volání a /proc API může lhát. Tedy i čistou kopii utilit v uživatelském prostoru jako ps nebo grep foo /proc/*/cmdline , vám neřekne, zda je spuštěn škodlivý proces. Jakýkoli rootkit hodný své soli skryje své vlastní procesy.
Každý soubor v celém systému je jako radioaktivní odpad , které mohou potenciálně kontaminovat další věci, pokud nebudete opatrní. např. útočník mohl něco přidat do /home/*/.bashrc znovu infikovat váš systém v případě, že přeinstalujete operační systém, ale nezaškrtnete /home .
Podobně mohou být nepříjemné věci v konfiguraci vašeho webového serveru nebo ve vašich CGI skriptech atd. Porovnejte se zálohami a nepředpokládejte, že je něco bezpečné, pokud se toho mohl dotknout útočník.
Rozhodně proveďte veškerou kontrolu nedůvěryhodných dat na známém čistém stroji. Dokud nespustíte nic z napadeného systému, měli byste být v pořádku. (tj. za předpokladu cmp a diff nemají žádné zranitelnosti. Ale všimněte si, že strings není bezpečné pro nedůvěryhodné soubory, v závislosti na verzi libbfd . Použijte strings -a .
Pravděpodobně, ale ne nutně. Útočník by mohl vždy nahradit programy upravenými vlastními verzemi, pokud měl přístup root.