我的 Linux 服务器被黑了。现在根目录中有一个文件产生很大的流量。当我终止这个进程时,它会再次自动启动。然后我做了 chmod -x。但它返回了 x 选项。没有 crontab 作业。我已经安装了auditd来检查发生了什么。但我找不到它如何自动启动?也许还有一些其他进程(守护进程)在那里工作以自动启动它。我如何跟踪启动此进程的守护进程活动?
谢谢。
答案1
如果您的服务器被黑客攻击,请勿在当前状态下使用它。备份您的数据,然后设置新的强化服务器并设置您的环境。备份时要小心,因为您也可能备份恶意软件并将其设置到新服务器。因为即使您解决了一个问题,您的服务器中也可能存在很多有害应用程序。
答案2
使机器脱机,即拔下网络电缆,将其关闭,从实时介质启动并为其创建映像。或者,如果可以的话,在跑步时想象一下。您可以稍后使用适当的工具进行取证,我会使用 DEFT:www.deftlinux.net