总结我没有问如何处理被入侵的服务器。我问的是,如何检测文件是否异常/无关/非官方。因此,这不是被入侵服务器问题的重复。对于任何花 2 分钟阅读这两个问题然后再标记为重复的人来说,这一点是显而易见的。
今天早上,我们收到一份报告,称我们的一台 Debian 服务器发出了异常巨大的传出流量。我尝试netstat -tpe以 root 身份启动,结果发现
这.unama是一个未知的过程,我在网上搜索过,但没有找到关于它的任何参考资料。
我发起了一个whois 173.254.230.36,发现该 IP 属于一个名为 meiyunla 的中国组织。
然后我尝试用which unama,却发现它是一个位于的无法读取的二进制文件/bin/unama。
有人知道如何检测这个 unama 文件是否是官方软件包或者是否是异常文件吗?
编辑
仅供参考,最终它是一种病毒,使我们的服务器成为僵尸网络的一部分。删除该文件是没用的,因为几分钟后它又出现了,占用了 60% 到 100% 的 CPU。
我们不得不关闭服务器并启动一个新服务器,从头开始重新安装所有软件。
只有一件事:永远不要在公共 IP 上使用 ssh 密码验证:)
答案1
unama绝对不是来自官方软件包的“正常”文件,请参阅软件包信息网。
你可以通过运行来检查它是否来自任何已安装的非官方软件包dpkg -S /bin/unama。这将显示它来自的已安装软件包的名称,如果此文件与任何当前安装的软件包均无关联,则不显示任何内容。