我的主机发送了一条通知,说服务器感染了恶意软件,这种恶意软件似乎不太流行。赛门铁克网站上关于这种恶意软件的介绍显示 Windows 机器是目标,但 CentOS 不是。
- 有人知道这个恶意软件到底有什么作用吗?
- 这是一个虚惊一场的可能性有多大?
- 我可以安装任何易于使用的工具,可以安全地从 SSH 扫描我的系统而不会破坏任何系统文件吗?
在过去 24 小时内,赛门铁克分析师已发现配置为与您网络上的资源进行通信的恶意软件。恶意软件和您的相关资源列示如下。
MD5 检测 ASN 描述 b83ff89585d668c3ca96b34b44da4093 Backdoor.Graybird!Gen 16265 www.dymll.com, 82.192.XXX.XXX, 82.192.XXX.0/19, ripencc, NL, FIBERRING LeaseWeb BV,NL
请使用此信息调查您的网络的潜在滥用,并根据您自己的内部程序采取纠正措施。
答案1
您的服务器可能没有运行恶意软件本身,而是运行命令和控制或中继服务器。您应该彻底检查服务器中是否有您未安装的软件。您的服务器完全有可能实际上没有被感染,但恶意软件无论如何都会尝试与您的服务器通信,这就是检测到的情况。
尽管不完整,您至少应该运行以下检查:
- 使用 netstat -nlp 打开监听端口
- 对开放端口进行全面端口扫描(例如使用 nmap)
- chkrootkit 和/或 rkhunter
- 使用 ps auwfx 运行进程
- 检查网络流量中是否存在可疑数据包。
如果您不知道如何阅读这些内容,您需要寻求专业 Linux 系统管理员的帮助来清理这些内容,并且您可能应该重新考虑在没有适当知识的情况下运行服务器。目前尚无自动化交钥匙解决方案能够 100% 准确地删除后门。