我的专用 Centos 6 服务器正在挖矿。我用 clamscan 扫描了系统。ClamAV 和以下日志:- 我已经检查过了我该如何处理受到感染的服务器?
该服务器实际上不可用,那么我该如何断开互联网连接?
我怀疑 /bin/mig 是受感染的文件。我可以删除它吗,因为它不属于任何软件包?
/bin/mig:Unix.Malware.Agent-6743195-0 发现 /home/XXXX/mail/XXXX.com/info/new/1539098255.M12312312.sXXXX-XX-XX-XX.erver.net,S=22802,W=23120:Heuristics.Phishing.Email.SpoofedDomain 发现警告:无法打开文件 /sys/devices/virtual/tty/tty/ve_device_add:权限被拒绝警告:无法打开文件 /sys/devices/virtual/tty/console/ve_device_add:权限被拒绝警告:无法打开文件 /sys/devices/virtual/tty/ptmx/ve_device_add:权限被拒绝警告:无法打开文件/sys/devices/virtual/tty/tty0/ve_device_add:权限被拒绝警告:无法打开文件 /sys/devices/virtual/tty/tty1/ve_device_add:权限被拒绝警告:无法打开文件 /sys/devices/virtual/mem/full/ve_device_add:权限被拒绝警告:无法打开文件 /sys/devices/virtual/mem/random/ve_device_add:权限被拒绝警告:无法打开文件 /sys/devices/virtual/mem/urandom/ve_device_add:权限被拒绝警告:无法打开文件 /sys/devices/virtual/misc/tun/ve_device_add:权限被拒绝警告:无法打开文件 /sys/devices/virtual/block/ploop11014/ploop11014p1/ve_device_add:权限被拒绝/usr/local/cpanel/cpaddons/cPanel/Blogs/WordPress/upgrade/2.7.1_2.8/diff: 发现 Html.Exploit.CVE_2014_1804-1
答案1
很遗憾地告诉您这个消息 - TL;DR 是您需要找人从头开始重建您的服务器。
关于断开服务器 - 您找到的建议是通用的,可能不适用。话虽如此,但这是最佳做法。我想理论上你应该要求设置它的人将其脱机。假设这是正确的,并且您有一个静态 IP 地址,您可以使用 iptables 隔离您的计算机。请注意,这很危险,如果您的 IP 地址发生变化或我弄错了什么,可能会将您锁定 - 因此请确保它可以重新启动。(也许安排一个 cron 作业?)
理论上,以下行应该将访问限制在您的 IP 上。它需要在一行中完成,因为它首先阻止所有内容,而不管当前规则和您的 IP 如何,然后允许数据往返于您的 IP。明确地说,YOUR.IP 是您想要从其连接到服务器的 IP。-
/sbin/iptables -I INPUT -j DROP; /sbin/iptables -I INPUT -s YOUR.IP -j ACCEPT; /sbin/iptables -d YOUR.IP -j ACCEPT
但问题是,删除受感染的文件并不能解决问题。有一种机制可以上传该文件并使其运行。您需要找出这种情况发生的原因并防止再次发生。
更糟糕的是,您的系统不可信 - 如果要确定它是干净的,您必须将其擦除并完全重新安装。注意 /bin/mig - 此文件不应需要 root 访问权限才能安装在该位置。这意味着攻击者拥有 root 访问权限。这意味着他们可以完全掩盖他们的踪迹并安装几乎不可能检测到的额外后门。精明的人说他们会这样做 - 因为困难的部分是获得 root 访问权限。