Da das System kompromittiert ist, ist nichts über Tools vertrauenswürdig. Sofern Sie die Tools nicht validiert haben (z. B. Tripwire FIM), ist es am besten, ein ähnliches System zu nehmen, das Notwendige zu kopieren, das ausgeführt werden sollte, wenn die Systeme eine ähnliche Architektur aufweisen usw. Dies ist jedoch nicht die optimale Methode. Da die Maschine kompromittiert ist, würden Sie abhängig von Ihren nächsten Schritten (Recht, Behörden usw.) ein forensisches Image erstellen und sich dann mit dem befassen, was passiert ist, sobald Sie Ihre Kopie haben. Sobald Sie Ihre Kopie haben, müssen Sie das Risiko ermitteln, das damit verbunden ist, das System wieder online zu stellen usw.
Wenn Sie festgestellt haben, wie ein Angreifer auf das System gelangt ist, müssen Sie dieses „Loch“ (Schwachstelle, Fehlkonfiguration) beseitigen, um sicherzustellen, dass er nicht zurückkehrt. Manchmal kann dies zeitaufwändiger sein als die Installation eines sauberen Systems. Aber nehmen wir an, Sie brauchen „dieses“ System. Sie könnten ps mit etwas wie:apt-get install --reinstall procps neu installieren gleiches gilt für lsof. Sie sollten sicherstellen, dass Ihre Repos nicht geändert wurden und Ihr DNS nicht auf ein nicht vertrauenswürdiges Repo verweist.
Zum größten Teil, um Ihre Frage zu beantworten:Können wir den Informationen vertrauen, die von den Befehlen des Linux-Dienstprogramms angezeigt werden Die Antwort ist, dass Sie dies auf keinen Fall tun sollten. Bis zu einer gründlichen Analyse sollte diesem System wenig vertraut werden.
Wenn Ihr System kompromittiert wurde, sollten Sie nichts vertrauen .
Ich denke, normalerweise funktionieren die Standard-Dienstprogramme größtenteils korrekt, lassen aber Dinge aus, die sich auf die Prozesse des Angreifers beziehen. Rootkits sind so konzipiert, dass Sie weniger wahrscheinlich bemerken, dass der Computer kompromittiert ist. Ich denke also, dass Sie ihnen im Allgemeinen vertrauen können, wenn es darum geht, Ihre eigenen Prozesse zu überprüfen, aber nicht, wenn es darum geht, sicherzustellen, dass ein Rootkit verschwunden ist.
Wenn der Angreifer Kernelmodule laden oder den Kernel anderweitig modifizieren kann, werden sogar die Systemaufrufe und /proc API kann lügen. Also sogar eine saubere Kopie der User-Space-Utilities wie ps , oder grep foo /proc/*/cmdline , zeigt Ihnen nicht an, ob ein schädlicher Prozess ausgeführt wird. Jedes Rootkit, das sein Geld wert ist, wird seine eigenen Prozesse verbergen.
Jede Datei im gesamten System ist wie radioaktiver Abfall , die möglicherweise andere Dinge kontaminieren können, wenn Sie nicht vorsichtig sind. z.B. ein Angreifer könnte etwas zu /home/*/.bashrc hinzugefügt haben um Ihr System erneut zu infizieren, falls Sie das Betriebssystem neu installieren, aber /home nicht aktivieren .
Ebenso kann es in Ihrer Webserverkonfiguration oder in Ihren CGI-Skripten usw. böse Dinge geben. Vergleichen Sie mit Backups und gehen Sie nicht davon aus, dass etwas sicher ist, wenn der Angreifer es angefasst haben könnte.
Führen Sie auf jeden Fall alle Überprüfungen von nicht vertrauenswürdigen Daten auf einem bekanntermaßen sauberen Computer durch. Solange Sie nichts von dem kompromittierten System ausführen, sollten Sie in Ordnung sein. (d.h. angenommen cmp und diff keine Schwachstellen haben. Beachten Sie jedoch, dass strings nicht sicher für nicht vertrauenswürdige Dateien, abhängig von der Version von libbfd . Verwenden Sie strings -a .
Wahrscheinlich, aber nicht unbedingt. Der Angreifer könnte die Programme jederzeit durch modifizierte eigene Versionen ersetzen, wenn er Root-Zugriff hätte.