如果
Linux服务器暴露在具有极低安全性策略的互联网(远程匿名Samba文件夹,具有默认管理密码的Firebird数据库服务器,没有防火墙等)一周,那么我该如何确保系统是没有完全格式化和重新安装,只能通过SSH远程访问它?
通常情况下,我建议使用
chkrootkit这样的工具进行本地检查,但如果运行检查的唯一方法是远程执行此操作,那么我建议您尝试使用
Rootkit Hunter.
Rookit Hunter通过运行以下测试来检查rootkit和其他此类活动(有关详细信息,请参阅Project Information):
> MD5哈希比较
>查找rootkit使用的默认文件
>二进制文件的文件权限错误
>在LKM和KLD模块中查找可疑字符串
>查找隐藏文件
我想补充一点,正如其他人所说,确保没有篡改您的服务的唯一可靠方法是重建它.这些工具运行良好,但它们不是成功的100%保证.