Написал скрипт который может определять наличие измененных файлов, может
удалить rootkit и восстановить старые системные файлы.
ckrootkit.centos.sh
ckrootkit.debian.sh
Для определения rootkit команды запускаются с ключом check
#./ckrootkit.centos.sh check
если rootkit найдет, для удаления выполняем команду с ключом clean
#./ckrootkit.centos.sh clean
После удаления нужно переустановить sshd
для Centos:
#yum remove openssh-server && yum install openssh-server &&
/etc/init.d/sshd restart
!!! При переустановке файл sshd_conf полностью заменяется новым, нужно
заново задать все параметры для ssh в этом файле, например не стандартный
порт или разрешенных пользователей.
для Debian:
apt-get remove openssh-server && apt-get install openssh-server &&
/etc/init.d/ssh restart
Эти скрипты с ключом check я добавил в crontab что бы отслеживать
появление этого rootkit в системе.
Комментариев нет:
Отправить комментарий