Karena sistem dikompromikan, tidak ada yang bisa dipercaya melalui alat. Kecuali jika Anda memiliki alat yang divalidasi (mis. Tripwire FIM), taruhan terbaik Anda adalah mengambil sistem yang serupa, menyalin apa yang diperlukan, yang harus dijalankan jika sistem serupa dalam arsitektur, dll. Ini bukan metode yang optimal. Karena mesin dikompromikan, tergantung pada langkah Anda selanjutnya (hukum, otoritas, dll), Anda akan membuat gambar forensik, lalu menangani apa yang terjadi saat Anda memiliki salinannya. Setelah Anda memiliki salinan, Anda perlu menentukan risiko yang terkait dengan membuat sistem kembali online, dll.
Jika Anda telah menentukan bagaimana penyerang masuk ke sistem, Anda perlu membersihkan 'lubang' itu (kerentanan, kesalahan konfigurasi) untuk memastikan mereka tidak kembali. Kadang-kadang ini bisa lebih memakan waktu dibandingkan menginstal sistem yang bersih. Tapi katakanlah Anda membutuhkan sistem 'itu'. Anda dapat menginstal ulang ps dengan sesuatu seperti:apt-get install --reinstall procps hal yang sama berlaku untuk lsof. Anda ingin memastikan repo Anda tidak diubah, dan DNS Anda tidak mengarah ke repo yang tidak tepercaya.
Sebagian besar untuk menjawab pertanyaan Anda:Dapatkah kami mempercayai informasi yang ditampilkan oleh perintah utilitas linux jawabannya adalah Anda benar-benar tidak boleh. Sedikit tentang sistem itu yang harus dipercaya sampai analisis menyeluruh dilakukan.
Jika sistem Anda telah disusupi, Anda tidak boleh mempercayai apa pun .
Saya pikir biasanya utilitas standar sebagian besar akan berfungsi dengan benar, tetapi mengabaikan hal-hal yang terkait dengan proses penyerang. Rootkit dirancang dengan cara ini sehingga Anda tidak akan menyadari bahwa mesin sedang disusupi. Jadi Menurut saya, secara umum Anda dapat memercayai mereka untuk melihat proses Anda sendiri, tetapi tidak untuk memastikan rootkit hilang.
Jika penyerang dapat memuat modul kernel, atau memodifikasi kernel, bahkan panggilan sistem dan /proc API bisa berbohong. Bahkan salinan bersih dari utilitas ruang pengguna seperti ps , atau grep foo /proc/*/cmdline , tidak akan memberi tahu Anda jika ada proses jahat yang sedang berjalan. Rootkit apa pun yang berharga akan menyembunyikan prosesnya sendiri.
Setiap file di seluruh sistem seperti limbah radioaktif , yang berpotensi mencemari barang lain jika Anda tidak berhati-hati. misalnya penyerang mungkin telah menambahkan sesuatu ke /home/*/.bashrc untuk menginfeksi ulang sistem Anda jika Anda menginstal ulang OS tetapi jangan mencentang /home .
Demikian pula, mungkin ada hal-hal buruk di konfigurasi server web Anda, atau di skrip CGI Anda, dll. Bandingkan dengan cadangan, dan jangan berasumsi ada yang aman jika penyerang dapat menyentuhnya.
Pasti melakukan setiap dan semua pemeriksaan data yang tidak dipercaya pada mesin yang dikenal bersih. Selama Anda tidak menjalankan apa pun dari sistem yang dikompromikan, Anda akan baik-baik saja. (yaitu dengan asumsi cmp dan diff tidak memiliki kerentanan. Tetapi perhatikan bahwa strings bukan aman pada file yang tidak dipercaya, bergantung pada versi libbfd . Gunakan strings -a .
Mungkin, tapi belum tentu. Penyerang selalu dapat mengganti program dengan versi modifikasi mereka sendiri jika mereka memiliki akses root.