我的 LAMP 服务器感染了病毒。(我认为。)根分区开始填满。但不知道它被什么填满了(没有日志)。重启后,根分区的使用空间恢复到 4%(正常)。我重新安装了服务器,但我保存了旧的根文件以保留配置。
之后,我尝试删除已保存的文件,它开始消失,只有一个我无法使用 root 删除的文件,然后一些东西开始重新建立整个“旧”根文件结构。所有已删除的文件夹都回来了。我需要格式化驱动器才能摆脱它。不幸的是,我还有另一个副本。我必须采取某种安全措施吗?
答案1
如果你认为你的系统已被入侵,
- 使系统脱机
- 如果您打算进行安全分析,请使用
dd在单独的安全媒体上保存受感染系统的副本。我怀疑这就是您所说的“安全行动”。在知道漏洞是什么之前,您无法提交有用的安全漏洞,因此请继续调查您的测试系统。 - 清除磁盘并从头重新安装 Ubuntu
- 从备份中恢复数据。请勿从受感染的系统中迁移数据
如果您没有备份,那么您刚刚学到了一个重要的人生教训。