実行可能ファイル/構成ファイル/...このマルウェアによって修正されていないことを確認するためにAIDEまたはTripwireを実行したいと思います。または、少なくとも修正されたら私に教えてください。
apt get upgrade
その間に修正されたファイルのリストを受け取り、apt-get install
AIDE / Tripwireデータベースを更新する方法を教えてください。
これには、前/後処理中に変更されたファイルが含まれます。
ベストアンサー1
AIDEやTripwireなどのツールはあまり役に立ちません。あまり賢くない攻撃だけが検出されるからです。攻撃者が root 権限を取得できる場合は、システムバイナリを変更する必要がなくなるか、カーネルに感染して監視システムのデータを偽造する可能性があります。 Tripwireは、攻撃者が痕跡をクリアする時間がある直前に変更を報告するので、役に立ちます。これを行うには、依然として信頼できる外部システムにログをすぐに送信する必要があります。
つまり、実行中にどの権限が変更されたかを知りたい場合は、apt-get
システムコールを追跡できます。アップグレード中に(再)起動されたデーモンを追跡できるため、実行後に追跡を中止します。
strace -o apt.strace -e openat,write sh -c '
apt-get "$@"
kill $PPID
' apt-get-wrapper upgrade
ご利用いただくとさらに安くなります。審査しかし、問題はAPTの実行による変更をフィルタリングする方法です。別の監査UIDを使用して実行すると、これを行うことができると思いますapt-get
。これはCラッパーを使用すると簡単です。残りの問題は、対応する監査UIDで再起動されたデーモンを実行しないことです。回避策はありません。