可能重复:
我的服务器被黑了 紧急求助
ZeuS 后端控制器滥用
我们的托管公司已经警告我们,我们的服务器中有一个僵尸网络控制器 (zeus)。但我们不知道它是如何安装的,以及如何检测和删除它。
我们最近没有安装任何东西,也不知道控制器位于何处。
它是一个专用服务器。
我们如何检测它?像 CLAM AV 这样的防病毒软件可以帮助找到它?
答案1
@Glen 的回答是一个很好的开始,但一个好的僵尸网络安装程序会使用一个 rootkit,该 rootkit 会为大多数系统实用程序设置后门(因此在进行取证时它们不会显示出来)。一个真正好的安装程序甚至会不遗余力地修改源代码或库,这样即使是现在编译的二进制文件也会被蒙蔽。唯一真正的方法是让您的托管服务提供商向您显示表明您受到攻击的流量日志,并通过 lsof 或 netstat 确认连接到该端口的内容。如果它没有显示任何内容,仍然不意味着您没有受到攻击。
答案2
lsof 和 netstat 可用于追踪机器人和弹跳器。'lsof -i | grep -i irc' 过去曾帮助我找到这些问题,但我怀疑这能否捕获所有内容。如果您发现 netstat/lsof 存在异常,则可以使用 'ls -lah /proc/$pid/' 进一步调查 pid。