Веб-сервер, зараженный бэкдор-трояном, как исправить?

В последнее время мой Linux-сервер отправляет очень большой файл (10mb-10G / s снаружи в определенное время, но я не могу понять, в чем причина.

введите описание изображения здесь

я использую clamav для сканирования всех файлов и получения результатов

19975 /usr/sbin/lsof: Linux.Trojan.Agent FOUND 19988 /usr/sbin/ss: Linux.Trojan.Agent FOUND 20076 /usr/bin/bsd-port/getty: Linux.Trojan.Agent FOUND 20095 /usr/bin/.sshd: Linux.Trojan.Agent FOUND 103568 /bin/ps: Linux.Trojan.Agent FOUND 103575 /bin/netstat: Linux.Trojan.Agent FOUND 103580 /opt/apache-tomcat-8.0.23/bin/.Rape: Unix.Trojan.Elknot-1 FOUND 8781 /tmp/udp25111: Linux.Trojan.Agent FOUND 

Кажется, у меня есть бэкдор-троян, и я занят хакером как устройство ddos. Я видел эту статью, которая описывает то же самое, что я встречаю http://news.drweb.com/?i=5801&c=5&lng=en&p=0

Как я могу удалить троянскую программу и извлечь измененные утилиты?

  • Может ли RPM управлять файлами в домашней папке без подтверждения?
  • Linux и черный список
  • как сделать файл вредоносного ПО доступным для чтения с помощью «Нет разрешения на чтение в файле» на linux ext-4?
  • найти отправителя спама
  • Как я могу выполнить сканирование вирусов на компакт-диске Linux или ISO из окон?
  • Действительно ли мне нужен антивирус на Debian 7?
  • Вирус VBS Jenxcus влияет на операционную систему Linux?
  • Должен ли я устанавливать антивирус?
  • 2 Solutions collect form web for “Веб-сервер, зараженный бэкдор-трояном, как исправить?”

    Существуют общие процедуры реагирования на инциденты, которые вы действительно должны соблюдать:

    • Отключить
    • оценить
    • Изменение информации о безопасности
    • исправлять
    • нормировать
    • анализировать

    Отключить:

    Пока вы подключены к сети, эти трояны могут продолжать распространяться на серверы C & C и придумывать новую проблему.


    Оценка:

    Выясните, что происходит. Возможно, другие системы в вашей сети также затронуты.


    Изменение информации о безопасности:

    Вы ДОЛЖНЫ предполагать, что любая информация о безопасности, которую вы имели на этом сервере, была скомпрометирована. Это означает, что любые пароли, сертификаты, токены и т. Д., Которые живут на сервере, должны быть изменены, отменены или иным образом стать ненадежными.


    Fix:

    Это часто не стоит удалять трояны. Во многих случаях современное вредоносное ПО чрезвычайно устойчиво к попыткам удаления. Восстановите систему или восстановите ее из резервных копий. При восстановлении из резервных копий обязательно сканируйте, как только восстановление будет завершено, при необходимости отбросьте еще дальше.

    Я не могу сразу найти много информации об удалении двух троянов, определенных в результатах сканирования. Это немного беспокоит меня. Я настоятельно рекомендую строить с нуля с удалением трояна.


    Нормализация:

    Подключите к сети, убедитесь, что все работает так, как было до этого.


    Анализ:

    Как вы получили троян? Кто-то делает что-то неправильно? Можете ли вы упростить правила брандмауэра, политики безопасности, обновление программного обеспечения и т. Д., Чтобы улучшить свою позицию?

    Я бы порекомендовал уничтожить серверное оборудование и перестроить с нуля.

    Чем лучше взломать меньше шансов на удаление вирусов. Некоторые плохие актеры могут скомпрометировать прошивку вашего сервера. Если вы не можете изолировать точку, в которой вы действительно попали под угрозу, вредоносное ПО легко может быть во всех ваших резервных копиях, если вы не проверили изображения, которые являются предварительными вторжениями.

    Серверы дешевы, просто получите новое оборудование и заблокируйте эту коробку лучше.

    Interesting Posts

    SFTP, создающий новый каталог

    У лимонного монетного двора есть проблемы с сбоями программ?

    Как изменить формат текста с помощью sed?

    тонко подготовленный корневой раздел в Centos 7

    Удаляются ли ссылки между файлом inode и data файла при удалении файла?

    Может ли следующая программа в конвейере увидеть код выхода предыдущей программы?

    Как вырезать вывод, чтобы только собрать имя файла и получить параметр?

    Запуск команд из корневого каталога новой рабочей области

    Обновление версий ядра при загрузке из rEFInd

    Декодировать флаги для команды Kill

    Как избежать сообщения об ошибке во время выполнения сценария bash?

    Как настроить интервал соединения в соединении BLE?

    Как использовать подстановочные знаки (*) при копировании с помощью scp?

    Почему существует разница между последними и последними коммандными записями и почему в записи последних записей нет последней записи входа для пользователя?

    Как изменить действие прокрутки в GNOME 3.10

    Linux и Unix - лучшая ОС в мире.