Веб-сервер, зараженный бэкдор-трояном, как исправить?

В последнее время мой Linux-сервер отправляет очень большой файл (10mb-10G / s снаружи в определенное время, но я не могу понять, в чем причина.

введите описание изображения здесь

я использую clamav для сканирования всех файлов и получения результатов

19975 /usr/sbin/lsof: Linux.Trojan.Agent FOUND 19988 /usr/sbin/ss: Linux.Trojan.Agent FOUND 20076 /usr/bin/bsd-port/getty: Linux.Trojan.Agent FOUND 20095 /usr/bin/.sshd: Linux.Trojan.Agent FOUND 103568 /bin/ps: Linux.Trojan.Agent FOUND 103575 /bin/netstat: Linux.Trojan.Agent FOUND 103580 /opt/apache-tomcat-8.0.23/bin/.Rape: Unix.Trojan.Elknot-1 FOUND 8781 /tmp/udp25111: Linux.Trojan.Agent FOUND 

Кажется, у меня есть бэкдор-троян, и я занят хакером как устройство ddos. Я видел эту статью, которая описывает то же самое, что я встречаю http://news.drweb.com/?i=5801&c=5&lng=en&p=0

Как я могу удалить троянскую программу и извлечь измененные утилиты?

  • найти отправителя спама
  • Может ли Autorun Virus повлиять на мой компьютер через Wine?
  • Linux и черный список
  • Как узнать, являются ли таинственные программы в списке нетонов вредоносными программами?
  • Может ли RPM управлять файлами в домашней папке без подтверждения?
  • Должен ли я устанавливать антивирус?
  • как сделать файл вредоносного ПО доступным для чтения с помощью «Нет разрешения на чтение в файле» на linux ext-4?
  • Как я могу выполнить сканирование вирусов на компакт-диске Linux или ISO из окон?
  • 2 Solutions collect form web for “Веб-сервер, зараженный бэкдор-трояном, как исправить?”

    Существуют общие процедуры реагирования на инциденты, которые вы действительно должны соблюдать:

    • Отключить
    • оценить
    • Изменение информации о безопасности
    • исправлять
    • нормировать
    • анализировать

    Отключить:

    Пока вы подключены к сети, эти трояны могут продолжать распространяться на серверы C & C и придумывать новую проблему.


    Оценка:

    Выясните, что происходит. Возможно, другие системы в вашей сети также затронуты.


    Изменение информации о безопасности:

    Вы ДОЛЖНЫ предполагать, что любая информация о безопасности, которую вы имели на этом сервере, была скомпрометирована. Это означает, что любые пароли, сертификаты, токены и т. Д., Которые живут на сервере, должны быть изменены, отменены или иным образом стать ненадежными.


    Fix:

    Это часто не стоит удалять трояны. Во многих случаях современное вредоносное ПО чрезвычайно устойчиво к попыткам удаления. Восстановите систему или восстановите ее из резервных копий. При восстановлении из резервных копий обязательно сканируйте, как только восстановление будет завершено, при необходимости отбросьте еще дальше.

    Я не могу сразу найти много информации об удалении двух троянов, определенных в результатах сканирования. Это немного беспокоит меня. Я настоятельно рекомендую строить с нуля с удалением трояна.


    Нормализация:

    Подключите к сети, убедитесь, что все работает так, как было до этого.


    Анализ:

    Как вы получили троян? Кто-то делает что-то неправильно? Можете ли вы упростить правила брандмауэра, политики безопасности, обновление программного обеспечения и т. Д., Чтобы улучшить свою позицию?

    Я бы порекомендовал уничтожить серверное оборудование и перестроить с нуля.

    Чем лучше взломать меньше шансов на удаление вирусов. Некоторые плохие актеры могут скомпрометировать прошивку вашего сервера. Если вы не можете изолировать точку, в которой вы действительно попали под угрозу, вредоносное ПО легко может быть во всех ваших резервных копиях, если вы не проверили изображения, которые являются предварительными вторжениями.

    Серверы дешевы, просто получите новое оборудование и заблокируйте эту коробку лучше.

    Interesting Posts

    Как установить Gnome в качестве стандартного DE, если я уже использую Cinnamon?

    Различные конфигурации tmux для разных сеансов?

    Вызов cp из BASH и использование опции -u

    Замените несколько пробелов одним, используя только «tr»

    Является ли код загрузчика связан с любым другим программным обеспечением?

    Как получить Ralink RT3290 беспроводную карту, работающую на Debian Jessie?

    Symlinked systemd скрипт не запускается при загрузке без daemon-reload

    Проблемы с загрузкой FTP с помощью iptables – соединение с портом 21 разрешено, но «Сеть недоступна»

    GPGPU / CUDA в KVM или Xen

    Как создать небольшой образ диска с большими разделами

    Как правильно отображать китайские символы на удаленной машине Red Hat?

    как использовать только определенные адреса в подсети для traceroute?

    Не удается войти в localhost через SSH, но аутентификация выполнена успешно

    runit и nginx

    Центральный логический узел Rsyslog

    Linux и Unix - лучшая ОС в мире.