мой совет? Посмотрите в /tmp/ каталог и увидеть там есть все, что не должно быть там. 9 раз из 10 вредоносных программ на системах Linux смогут установить себя в /tmp/.
если вы не уверены, что должно / не должно быть в /tmp/ есть простая, но экстремальная вещь, которую вы можете сделать, чтобы очистить плохие вещи. Просто запустите это онлайн в командной строке:
rm -rf /tmp && mkdir /tmp && chown root:root /tmp && chmod 1777 /tmp
или выполнить каждую команду по отдельности, как это:
sudo rm -rf /tmp
sudo mkdir /tmp
sudo chown root:root /tmp
sudo chmod 1777 /tmp
затем перезагрузите сервер, чтобы убедиться, что все проясняется. Если это так, поздравляю! Но вы еще не вышли из леса, так как это то, что вызвало оригинальную систему, все еще может проникнуть в вашу систему, это всего лишь вопрос времени, прежде чем они снова найдут вас. Это означает, что это очищает беспорядок, вызванный слабостью в вашей системе, но вам нужно выяснить, что это слабое место может быть и затвердеть.
если ваши серверы заражены, инфекция в откуда-то. Поскольку bash shellshock ошибка была обнаружена этим летом прошлого года, шансы высоки, что ваша машина была заражена эксплойтом на сервер, который воспользовался этой ошибкой. Вы можете проверить, чтобы увидеть, выполнив эту команду из командной строки:
env x='() { :;}; echo vulnerable' bash -c 'echo hello'
если вы заражены, он вернет следующий вывод:
vulnerable
hello
hello - это приемлемый выход. The vulnerable означает verison bash установленных в системе уязвим для эксплойтов "Shellshock".
так теперь, когда мы знаем эту версию bash есть проблема, давайте введите следующие команды, чтобы установить обновление bash.
apt-get update
sudo apt-get install --only-upgrade bash
все работает, запустите этот хак тест:
env x='() { :;}; echo vulnerable' bash -c 'echo hello'
и вывод на этот раз должен быть только hello. Что означает bash теперь сплошная.
но все это предполагает, что bash проблема была в эксплойте. Если что-то еще случилось, нужно сделать что-то еще.
Komp
2836
