我的服务器有 2 个账户被黑了,现在如果我尝试以任何方式删除它们,1 分钟后,它们将自动以最高权限重新添加
visudo NOPASSWORD=ALL
那么我怎样才能找出根代码并永久删除它们呢?
答案1
很抱歉,但是唯一正确方法™去就是从轨道上摧毁这台机器。
如果黑客设法深入您的系统,您永远无法知道是否已经抹去所有痕迹,或者他们是否还有其他王牌可以重新获得访问权限。
您应该首先尝试调查他们是如何入侵系统的,以便稍后在新安装中修补该安全漏洞,然后彻底清除整个系统并从头开始安装。因此,最好的办法是关闭服务器并启动实时系统,然后从中克隆整个存储。稍后,您可以在安全且锁定的环境中检查该映像(无法访问互联网或您的企业网络等)。
您还应该只备份必要的数据,但备份量应尽可能少,因为您复制的每个文件都可能被感染。将您当前的数据文件与旧备份中的数据文件进行比较(您确实有定期备份,对吧!?)可能有助于确定您需要什么以及哪些数据状况良好。
其他 Stack Exchange 网站上的相关问题: