我有 4 台 Debian 服务器,它们同时被感染,并且以某种方式导致网络卡住。
这些服务器不是 Web 服务器,只安装了 SSH。我检查了正在运行的进程,这个进程的名称很奇怪,看起来像是病毒。它在 crontab 中创建了一行,当我删除它时,它又会自行创建。
奇怪的是,这 4 台服务器都有相同的用户/密码,而且 ssh 端口也是默认的 22。我在同一个 vmware 网络上的另一台服务器具有相同的操作系统,连接到这 4 台服务器,但从来没有出现过这样的问题。也许我应该告诉你密码是 5 个字符,而且很简单。
现在我重新安装了 Debian 并更改了 root 密码和 ssh 端口。
我非常感谢您的建议。
答案1
我的建议是?查看/tmp/目录,看看是否有不该有的东西。Linux 系统上 10 个恶意软件中有 9 个能够自行安装到 中/tmp/。
如果你不确定里面应该/不应该有什么,/tmp/你可以做一个简单但极端的方法来清除坏东西。只需在命令行中在线运行此命令:
rm -rf /tmp && mkdir /tmp && chown root:root /tmp && chmod 1777 /tmp
或者像这样单独运行每个命令:
sudo rm -rf /tmp
sudo mkdir /tmp
sudo chown root:root /tmp
sudo chmod 1777 /tmp
然后重新启动服务器,看看是否能解决问题。如果能,恭喜你!但你还没有脱离险境,因为无论是什么原因导致的原始系统仍然可以渗透到你的系统中,它们再次感染你只是时间问题。这意味着,这可以清理由系统中的弱点造成的混乱,但你需要找出这个弱点可能是什么并加强它。
如果您的服务器被感染,那么感染肯定来自某个地方。由于bashshellshock 漏洞是在今年夏天发现的,因此您的计算机很有可能被利用此漏洞的服务器漏洞感染。您可以通过从命令行运行以下命令来检查:
env x='() { :;}; echo vulnerable' bash -c 'echo hello'
如果您被感染,它将返回以下输出:
vulnerable
hello
这hello是可以接受的输出。这意味着系统上安装的vulnerable版本容易受到“Shellshock”攻击。bash
既然我们知道这个版本bash有问题,让我们输入以下命令来安装的升级bash。
apt-get update
sudo apt-get install --only-upgrade bash
完成所有操作后,再次运行此 hack 测试:
env x='() { :;}; echo vulnerable' bash -c 'echo hello'
这次的输出应该只有hello。这意味着bash现在是可靠的。
但所有这些都假设bash漏洞是问题所在。如果发生了其他事情,就需要做其他事情。