我是公司新来的,一个星期前就发现公司的 Linux 服务器感染了病毒。我想弄清楚是什么原因导致了病毒感染,结果发现服务器很久没有更新了!!我想但不确定这就是病毒入侵系统的原因。
通过终端lsb_release -a命令显示以下内容:
No LSB modules are available.
Distributor ID: Debian
Description: Debian GNU/Linux 5.0.10 (lenny)
Release: 5.0.10
Codename: lenny
我知道,这太旧了(lenny!!)我必须将系统升级到 Debian 7.0 Wheezy。问题是:
- 更新过程之后可能出现哪些风险?
- 必须从头开始重新安装所有系统文件吗?
- 我是否也需要更新 php 和 mysql 版本以兼容新的 Debian 版本?
我很犹豫,因为版本太旧,而且我对 Linux 服务器的了解非常有限。
答案1
如果您的机器上有 rootkit(最具破坏性的病毒),它很可能会将代码插入到您的内核模块中(因此它可以在使用 md5sum 或 netstat 等常规检测工具时隐藏自己)和库中(因此,安装的其他除常规检测工具之外的工具也会同样受到干扰)。
有许多值得拥有的工具,它们使用内部的所有库进行编译,其中主要包括 sash、ps、netstat 和 md5sum。
如果你不知道自己在做什么,那么识别 rootkit 的范围几乎是不可能的。当我过去受到攻击时,一旦我确定有恶意入侵者的行为,我就会关闭机器,购买新磁盘,重新安装,更新并锁定新机器,然后才能访问旧磁盘以恢复数据。
如果您运行的是旧版 Linux(我仍有一台服务器运行 8.04LTS),请确保只运行最少的面向互联网的服务,并定期监控服务器。如果出现任何意外变化,那么您需要快速采取行动,因为机器人黑客可以在数小时内从利用一些小问题到添加用户级脚本。如果可能,请将系统日志保存在另一台机器上。
如果您不是经验丰富的系统管理员,那么请认真听取其他人的建议,您需要保持最新状态,否则您将承担巨大的风险。
答案2
这应该是一条评论但是它有点长。
“公司 Linux 服务器含有病毒”
这立即让我警觉起来。Linux 上的病毒非常罕见。还有很多其他恶意软件(蠕虫、木马、rootkit)。如果是文件服务器,那么它可能只是存储了另一台计算机写入的病毒。升级操作系统不会有帮助。它将有助于最多其他类型的恶意软件 - 但这些恶意软件的存在意味着操作系统中可能存在漏洞,但可能存在于配置中或在服务器上运行的代码中,而这些代码不属于操作系统(例如基于 Web 的内容管理系统),无法通过升级操作系统来修复。
当然,如果你想让人们看到你在做什么,那就升级操作系统。但如果你告诉我们你对事件的了解,那么我们有可能帮助你让机器更安全一点。