可能重复:
我该如何处理受到感染的服务器?
我对整个 vps 进行了扫描,发现上面的文件夹包含大量病毒。我可以安全地删除此文件夹吗?我可以通过 ssh 删除吗?还是需要通过命令行删除?
具体成果:
/tmp/.xzibit/new64: UNIX.Exploit.CVE_2010_3301-2 FOUND
/tmp/.xzibit/c/robert_you_suck.c: UNIX.Exploit.CVE_2010_3301-1 FOUND
/tmp/.xzibit/ab: UNIX.Exploit.CVE_2010_3301-1 FOUND
/tmp/.xzibit/3/ptrace: Linux.RST.B-1 FOUND
/tmp/.xzibit/3/ptrace24: Linux.Rst.A FOUND
/tmp/.xzibit/3/elf: Exploit.Linux.Race.C FOUND
/tmp/.xzibit/3/brk: Linux.Brk.B FOUND
/tmp/.xzibit/3/90: Linux.Osf.3974 FOUND
/tmp/.xzibit/3/ex: Linux.RST.B-1 FOUND
/tmp/.xzibit/3/x: Linux.RST.B-1 FOUND
/tmp/.xzibit/3/ee: Linux.RST.B-1 FOUND
/tmp/.xzibit/3/nc: Linux.Rst.A FOUND
/tmp/.xzibit/3/e2: Linux.RST.B-1 FOUND
/tmp/.xzibit/3/uselib24: Exploit.Linux.Race.C FOUND
/tmp/.xzibit/1/32/therebel/exploit.c: Exploit.Linux-2 FOUND
/tmp/.xzibit/01: UNIX.Exploit.CVE_2010_3301-2 FOUND
附加信息: 我注意到,这个网站上的网站过去曾被入侵,并被扫描和清理过。这是我第一次决定扫描所有内容,而不仅仅是网络目录。这是唯一出现的内容,这让我相信它是我之前错过的残留垃圾,来自其中一个网站(因为它仍然停留在 tmp 目录中)。这个假设准确吗?
答案1
注意:您应该立即咨询 Linux 系统安全专家,因为您的系统可能受到了损害。
看起来你的系统可能在某种程度上受到了损害。
所描述的文件夹显示为 Linux“点文件”。 “点文件”通常用于存储程序的配置数据,但是,正如您在结果中看到的那样,此文件夹中有多个 C 程序,这也不是个好兆头。
您可以尝试 Rootkit Hunter(http://rkhunter.sourceforge.net/) 来查看是否存在任何 rootkit。
如果您的 VPS 位于共享服务器/托管服务上,您可能应该联系您的托管服务提供商。
如果它确实是病毒/rootkit/后门,并且您可以将其从系统中删除,如果您不确定系统的安全性,您可能还需要考虑更改密码。
您可以删除这些文件,但如果它们成功利用了您的系统,这可能无法解决问题。
对于 /tmp/,请使用以下内容作为指导来决定是否删除文件:
“此目录主要包含临时需要的文件。许多程序使用它来创建锁定文件和临时存储数据。除非您确切知道自己在做什么,否则不要从此目录中删除文件!其中许多文件对于当前正在运行的程序很重要,删除它们可能会导致系统崩溃。通常它不会包含超过几 KB 的文件。在大多数系统上,此目录在启动或关闭时由本地系统清除。这样做的基础是历史先例和常见做法。但是,这并不是一项要求,因为系统管理不在 FSSTND 的范围内。因此,人们和程序不能假设 /tmp 中的任何文件或目录在程序调用之间都会保留。这背后的原因是为了符合 IEEE 标准 P1003.2(POSIX,第 2 部分)。”
来源:http://www.tldp.org/LDP/Linux-Filesystem-Hierarchy/html/tmp.html
要删除该目录中的所有文件/文件夹 rm -rf /tmp/.xzibit
请记住,您的系统仍然可能会受到您没有工具检测的某种方式的损害。
编辑:请参阅迈克尔·汉普顿对您的问题的评论回复,以获取有关进一步行动方案的建议。