GNU/Linux >> Znalost Linux >  >> Linux

Infekce virem DDoS (jako unixová služba) na webovém serveru Debian 8 VM

Utrpěli jsme podobnou infekci na Suse, pravděpodobně prostřednictvím přihlášení hrubou silou ssh.

Postup čištění:

  1. Zkontrolujte soubor /etc/crontab . Pravděpodobně máte záznam pro volání viru každé 3 minuty

    */3 * * * * root /etc/cron.hourly/cron.sh

    Smazat tento řádek.

  2. Identifikujte rodičovský proces viru. rguoywvrf ve vašem ps -ej . Ostatní procesy jsou vytvářeny a zabíjeny průběžně.
  3. Přestaňte s tím, nezabíjejte to s kill -STOP 1632
  4. Zkontrolujte u jiného ps -ej že žije jen rodič, děti by měly rychle zemřít
  5. Nyní můžete smazat soubory v /usr/bin a /etc/init.d . Existují varianty viru, který také používá /boot nebo /bin . Použijte ls -lt | head hledat soubory, které byly nedávno změněny.
  6. Zkontrolujte skript v /etc/cron.hourly/cron.sh . Na našem serveru to volalo další kopii viru na /lib/libgcc.so . Smažte oba soubory.
  7. Nyní můžete definitivně zabít rguoywvrf proces.

Odpovědi na vaše otázky:

  1. Bez nezbytných opatření (systémový protokol mimo web, IDS, monitorování protokolů atd.) pravděpodobně nikdy nezjistíte, co se stalo.
  2. Musel bych souhlasit s Mattem. Investujete čas do spuštění stroje, kterému nikdy nebudete opravdu věřit. Podle mého názoru je nejlepším řešením přesunout data mimo místo a předělat stroj.

Samozřejmě, že to stojí za to, je to pouze můj názor. I když při předělání stroje můžete samozřejmě přijmout nezbytná opatření a v budoucnu se lépe chránit.


Linux

  1. Debian – Jak spouštět 32bitové programy na 64bitovém Debianu/ubuntu?

  2. Debian – nelze spustit instalaci Devuan/debian?

  3. Nainstalujte OpenVPN Server na Debian 11/Debian 10

  1. Jak znovu zkompilovat webový server nginx na Debian Linuxu

  2. Linux – Je Linux Unix?

  3. Jak nainstalovat Suricata na Debian 11

  1. Je Mac Os X Unix?

  2. Debian – služba je aktivní, ale (ukončena)?

  3. Debian – správný způsob použití Onfailure v Systemd?