如何检查您的服务器是否受到Linux / Rst-B后门(Debian Etch)
版本1.0
作者:Falko Timme
Linux Rst-B是一个后门,可用于将您的服务器添加到僵尸网络(参见http://www.heise.de/newsticker/meldung/103563 (德文))。 本简短指南介绍了如何安装和使用Sophos Linux / RST-B检测工具来检查Debian Etch服务器,并确定它是否受到Linux Rst-B的感染。
我不会保证这将为您工作!
1下载并安装Sophos Linux / RST-B检测工具
我想在/ usr / local / sbin目录
中安装Linux / RST-B检测工具(以便稍后在PATH中
检测工具):
cd /usr/local/sbin
wget http://www.sophos.com/support/cleaners/detection_tool.tar.gz
tar xvfz detection_tool.tar.gz
然后,您应该在/ usr / local / sbin / detection_tool
目录中找到tar.gz文件的内容。
安装检测工具有两种方法:您可以使用/ usr / local / sbin / detect_tool /预编译目录中
可以找到的预编译二进制文件,也可以自己编译。 我现在会展现两种方式。
1.1使用预编译二进制
要使用预编译的二进制文件,我们可以简单地从/ usr / local / sbin目录
创建一个名为rst_detection_tool
的符号链接到detect_tool / pre-compiled / detection_tool
:
cd /usr/local/sbin
ln -s detection_tool/pre-compiled/detection_tool rst_detection_tool
或者我们将detect_tool / pre-compiled / detection_tool移动
到/ usr / local / sbin
并将其重命名为rst_detection_tool
:
cd /usr/local/sbin
mv detection_tool/pre-compiled/detection_tool rst_detection_tool
1.2从源头构建检测工具
要从源代码编译检测工具,我们首先安装包build-essential
:
apt-get install build-essential
之后我们构建检测工具如下:
cd /usr/local/sbin/detection_tool
make
这将创建程序/ usr / local / sbin / detection_tool / detection_tool
。 我想直接在/ usr / local / sbin目录
中将其命名为rst_detection_tool
,因此我们可以创建一个符号链接:
cd /usr/local/sbin
ln -s detection_tool/detection_tool rst_detection_tool
或者我们将detection_tool / detection_tool
移动到/ usr / local / sbin
并将其重命名为rst_detection_tool
:
cd /usr/local/sbin
mv detection_tool/detection_tool rst_detection_tool
2使用Linux / RST-B检测工具
现在我们可以使用检测工具如下:
在/ usr / local / sbin目录
之外:
rst_detection_tool [-v] <path>
在/ usr / local / sbin目录
下,我们必须先加上./
:
./rst_detection_tool [-v] <path>
所以如果你想扫描整个文件系统,你只需要使用:
rst_detection_tool /
要么
./rst_detection_tool /
如果你在/ usr / local / sbin
。
在一个干净的系统上,输出如下所示:
server2:/usr/local/sbin# ./rst_detection_tool /
Sophos Rst-B Detection Tool
---------------------------
Copyright (c) 2008 Sophos Plc. All rights reserved.
Scanned 43134 files, found 0 infections of Linux/Rst-B.
End of scan.
server2:/usr/local/sbin#
3链接
- Sophos Linux / RST-B检测工具: http : //www.sophos.com/rst-detection-tool
- Debian: http : //www.debian.org