悪意のある起動サービスを無効にする方法

悪意のある起動サービスを無効にする方法

私はチーム全体でLinuxサーバーを使用します。私たち全員がsudo権限を持っています。

私たちが知っているように、誰かを簡単に追い出すことができます。who -uすべてのSSHログインはPIDとともにリストされ、kill -9すべてのユーザーがリストされます。

それでは、何人かの悪い人がログインしているすべてのユーザーを繰り返し起動するbashスクリプトを書いているとしましょう。

while true
do
    # kill -9 each PID in `who -u`
done

また、攻撃者はsystemdを使用してbashスクリプトを設定し、起動または再起動時に自動的に起動するようにしました。

今、誰もリモートでログインできないようです。

私の質問は、オペレーティングシステムを再インストールせずにこの問題を解決できる技術があるかどうかです。

答え1

完全な再インストールをお勧めします。

もちろん、他のソース(Rescue / Life CD)から再起動してシステムデバイスを無効にすることもできます。

しかし、ログインできない場合は、それがシステム化されたデバイスであるかどうかをどうやって知ることができますか?これがあなたが投稿したスクリプトかどうかはどうすればわかりますか?

そして、最も重要なことは、他の修正がないことをどうやって知ることができますか?あまり明確ではないトラップが隠れている可能性があります。

関連情報