最近,我的linux服务器在某些时候向外发送一个非常大的文件(10mb-10G/s,但我无法弄清楚是什么原因。这是屏幕截图
我使用 clamav 扫描所有文件并得到结果
19975 /usr/sbin/lsof: Linux.Trojan.Agent FOUND
19988 /usr/sbin/ss: Linux.Trojan.Agent FOUND
20076 /usr/bin/bsd-port/getty: Linux.Trojan.Agent FOUND
20095 /usr/bin/.sshd: Linux.Trojan.Agent FOUND
103568 /bin/ps: Linux.Trojan.Agent FOUND
103575 /bin/netstat: Linux.Trojan.Agent FOUND
103580 /opt/apache-tomcat-8.0.23/bin/.Rape: Unix.Trojan.Elknot-1 FOUND
8781 /tmp/udp25111: Linux.Trojan.Agent FOUND
看来我中了后门木马,被黑客占用作为ddos设备了。我看到这篇文章描述了我遇到的完全相同的事情http://news.drweb.com/?i=5801&c=5&lng=en&p=0
如何删除木马并检索变形的实用程序?
答案1
您确实应该遵循以下一般事件响应程序:
- 断开
- 评估
- 更改安全信息
- 使固定
- 标准化
- 分析
断开:
只要您保持网络连接,这些木马就可能会继续接触 C&C 服务器并带来新的恶意行为。
评估:
弄清楚发生了什么。也许网络中的其他系统也会受到影响。
更改安全信息:
您必须假设您在此服务器上拥有的任何安全信息都已被泄露。这意味着服务器上的任何密码、证书、令牌等都应该被更改、撤销或以其他方式变得不可信。
使固定:
通常不值得删除特洛伊木马。在许多情况下,现代恶意软件对于删除尝试具有极强的弹性。重建系统或从备份恢复。如果从备份恢复,请确保恢复完成后立即扫描 - 如有必要,甚至可以进一步回滚。
我无法立即找到有关删除扫描结果中识别的两个木马的更多信息。这让我有点担心。我强烈建议从头开始构建而不是删除木马。
标准化:
重新连接到网络,确保一切正常,就像发生这种情况之前一样。
分析:
你是如何获得木马的?有人做错了什么吗?您能否强化防火墙规则、安全策略、更新软件等以改善您的未来状况?
答案2
我建议废弃服务器硬件并从头开始重建。
黑客攻击得越好,实际删除恶意软件的机会就越小。一些不良行为者可能会损害您服务器的固件。除非您能够隔离实际受到损害的点,否则恶意软件也很容易出现在您的所有备份中,除非您已经验证了入侵前的映像。
服务器很便宜,只需购买新硬件并更好地锁定该设备即可。