Как бороться с серверами Debian, зараженными вирусом DDoS

У меня есть 4 сервера Debian, которые были заражены все вместе ровно один раз, и они каким-то образом посылают, что сеть застревает.

эти серверы не веб-серверы и только SSH установлен.
Я проверил запущенные процессы, и это странный процесс имени выглядит как вирус.
Он создает строку в crontab и когда я удаляю его, он создает себя снова.

одна странная вещь заключается в том, что все эти 4 сервера имеют один и тот же user/pass, а также порт ssh по умолчанию 22. другой сервер, который у меня есть в той же сети vmware, который имеет ту же ОС, подключенный к этим 4 серверам, но никогда не имеет такой проблемы. может быть, я должен сказать вам, что пароль был 5 характер и легко.

на данный момент я переустановил Debian на них и изменить пароль root, а также ssh порт.

Я действительно ценю предложение.

9
задан user410929
08.03.2023 2:25 Количество просмотров материала 2836
Распечатать страницу

1 ответ

мой совет? Посмотрите в /tmp/ каталог и увидеть там есть все, что не должно быть там. 9 раз из 10 вредоносных программ на системах Linux смогут установить себя в /tmp/.

если вы не уверены, что должно / не должно быть в /tmp/ есть простая, но экстремальная вещь, которую вы можете сделать, чтобы очистить плохие вещи. Просто запустите это онлайн в командной строке:

rm -rf /tmp && mkdir /tmp && chown root:root /tmp && chmod 1777 /tmp

или выполнить каждую команду по отдельности, как это:

sudo rm -rf /tmp 
sudo mkdir /tmp
sudo chown root:root /tmp
sudo chmod 1777 /tmp

затем перезагрузите сервер, чтобы убедиться, что все проясняется. Если это так, поздравляю! Но вы еще не вышли из леса, так как это то, что вызвало оригинальную систему, все еще может проникнуть в вашу систему, это всего лишь вопрос времени, прежде чем они снова найдут вас. Это означает, что это очищает беспорядок, вызванный слабостью в вашей системе, но вам нужно выяснить, что это слабое место может быть и затвердеть.

если ваши серверы заражены, инфекция в откуда-то. Поскольку bash shellshock ошибка была обнаружена этим летом прошлого года, шансы высоки, что ваша машина была заражена эксплойтом на сервер, который воспользовался этой ошибкой. Вы можете проверить, чтобы увидеть, выполнив эту команду из командной строки:

env x='() { :;}; echo vulnerable' bash -c 'echo hello'

если вы заражены, он вернет следующий вывод:

vulnerable
hello

hello - это приемлемый выход. The vulnerable означает verison bash установленных в системе уязвим для эксплойтов "Shellshock".

так теперь, когда мы знаем эту версию bash есть проблема, давайте введите следующие команды, чтобы установить обновление bash.

apt-get update
sudo apt-get install --only-upgrade bash

все работает, запустите этот хак тест:

env x='() { :;}; echo vulnerable' bash -c 'echo hello'

и вывод на этот раз должен быть только hello. Что означает bash теперь сплошная.

но все это предполагает, что bash проблема была в эксплойте. Если что-то еще случилось, нужно сделать что-то еще.

0
отвечен JakeGould 2023-03-09 10:13

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя
Вверх