检测带有后门的在 /usr/bin 中重新创建文件的恶意软件

检测带有后门的在 /usr/bin 中重新创建文件的恶意软件

我有 VPS 服务器,但它已被黑客入侵。并且已经安装了一个后门程序,总是监听所以 prots 并且它操作整个 / 目录

现在我使用inotifywait可以看到病毒程序总是删除并以新名称创建后门程序,大约2秒执行一次。

现在我想知道如何查看哪些程序创建和删除它们?所以我需要记录/usr/bin/写入和删除日志以及操作程序PID。

如果我能知道谁是“程序妈妈”,我完全可以欺骗它。

答案1

免责声明:我不是安全专家,只是对此有浓厚的兴趣。如果服务器对您/您的工作很重要/至关重要,我强烈建议您寻求安全审核员的专业服务。

inotify 不提供有关进程 ID 的信息,您可以尝试运行lsof | grep FILENAME以查看哪个进程打开了该文件,但您会幸运地在写入文件的过程中捕获该进程,除非它使文件长时间保持打开状态。

但是,您的系统已受到损害。我认为它是不可信的,因为你没有好的/可靠的方法来找出恶意攻击做了什么。因此,您无法判断系统的哪些部分已受到损害 - 例如,ls即使您认为已删除后门程序,他们也可能修改您的二进制文件以重新下载后门程序。正确、彻底地清理受感染的系统并不是一项简单的任务,最好离线完成,这样您就不会在执行此操作时与系统对抗。

理想情况下,您应该立即关闭受感染的系统,以阻止它们造成比已经造成的更大的损害(对其自己的操作系统或其他系统)。如果您依赖系统,这可能会很困难,但不这样做可能会导致更糟糕的结果(完全取决于系统的作用)。

在我看来,确保系统干净的最佳方法是在另一个 VPS 上从头开始重新设置它,在检查病毒/恶意代码后仅迁移您无法复制的所需数据(最好是从备份) - 如果您迁移的任何内容已受到损害,您的新盒子也可能受到损害。

将旧系统保持离线状态一段时间会很方便,这样您就可以检查它以尝试找出攻击者是如何进入的。然后使用该信息来提高系统的安全性。

最佳行动方案取决于系统的用途/它的重要性。因此,我强烈建议让安全审核员检查系统和您的设置,以便为您提供有关您可以做什么的最佳建议。

相关内容