我有一台感染了恶意软件的 CENTOS 服务器:顶部显示有一个未知进程正在消耗所有 CPU,如果您杀死它,它会以不同的名称重生。
清理该恶意软件并找到根本原因的最佳方法是什么?在这种情况下安装防病毒软件会有帮助吗?如果有,是哪一个?
答案1
当您已获得 root 权限后(听起来您已经获得了 root 权限),建议的做法是重新安装操作系统并小心从备份中恢复您的数据。如果它是一个重要的系统,我会立即将其与网络断开。
如果服务器不是那么重要,那么花时间尝试追踪根本原因可能会很有教育意义,以便您可以采取措施防止再次发生这种情况。但是,您需要非常熟悉操作系统和 Unix 工具才能执行此操作。
您可能会花费很长时间尝试清理系统,但如果不重新安装新操作系统,您永远无法 100% 确定所有恶意二进制文件和/或脚本都已被删除。
McAfee 等供应商提供了适用于 Linux 的防病毒软件,但我从未见过有人使用它——大概是在公司策略要求使用防病毒软件的情况下使用它。
编辑: 以后我会安装猎头者(Rootkit Hunter),一种扫描 Rootkit、后门和各种其他漏洞的工具。它应该安装在一个干净的系统上,并使用每晚的 cron 作业来扫描系统二进制文件中的差异,并在发现任何差异时发出警告。对于 CentOS 系统,它还可以配置为使用 RPM 的内置验证,我认为它是运行rpm -Va验证 RPM 包管理器安装的所有文件的有用补充。