Веб-сервер, зараженный бэкдор-трояном, как исправить?

В последнее время мой Linux-сервер отправляет очень большой файл (10mb-10G / s снаружи в определенное время, но я не могу понять, в чем причина.

введите описание изображения здесь

я использую clamav для сканирования всех файлов и получения результатов

19975 /usr/sbin/lsof: Linux.Trojan.Agent FOUND 19988 /usr/sbin/ss: Linux.Trojan.Agent FOUND 20076 /usr/bin/bsd-port/getty: Linux.Trojan.Agent FOUND 20095 /usr/bin/.sshd: Linux.Trojan.Agent FOUND 103568 /bin/ps: Linux.Trojan.Agent FOUND 103575 /bin/netstat: Linux.Trojan.Agent FOUND 103580 /opt/apache-tomcat-8.0.23/bin/.Rape: Unix.Trojan.Elknot-1 FOUND 8781 /tmp/udp25111: Linux.Trojan.Agent FOUND 

Кажется, у меня есть бэкдор-троян, и я занят хакером как устройство ddos. Я видел эту статью, которая описывает то же самое, что я встречаю http://news.drweb.com/?i=5801&c=5&lng=en&p=0

Как я могу удалить троянскую программу и извлечь измененные утилиты?

  • Как узнать, являются ли таинственные программы в списке нетонов вредоносными программами?
  • найти отправителя спама
  • как сделать файл вредоносного ПО доступным для чтения с помощью «Нет разрешения на чтение в файле» на linux ext-4?
  • Должен ли я устанавливать антивирус?
  • Как я могу выполнить сканирование вирусов на компакт-диске Linux или ISO из окон?
  • Действительно ли мне нужен антивирус на Debian 7?
  • Вирус VBS Jenxcus влияет на операционную систему Linux?
  • Может ли RPM управлять файлами в домашней папке без подтверждения?
  • 2 Solutions collect form web for “Веб-сервер, зараженный бэкдор-трояном, как исправить?”

    Существуют общие процедуры реагирования на инциденты, которые вы действительно должны соблюдать:

    • Отключить
    • оценить
    • Изменение информации о безопасности
    • исправлять
    • нормировать
    • анализировать

    Отключить:

    Пока вы подключены к сети, эти трояны могут продолжать распространяться на серверы C & C и придумывать новую проблему.


    Оценка:

    Выясните, что происходит. Возможно, другие системы в вашей сети также затронуты.


    Изменение информации о безопасности:

    Вы ДОЛЖНЫ предполагать, что любая информация о безопасности, которую вы имели на этом сервере, была скомпрометирована. Это означает, что любые пароли, сертификаты, токены и т. Д., Которые живут на сервере, должны быть изменены, отменены или иным образом стать ненадежными.


    Fix:

    Это часто не стоит удалять трояны. Во многих случаях современное вредоносное ПО чрезвычайно устойчиво к попыткам удаления. Восстановите систему или восстановите ее из резервных копий. При восстановлении из резервных копий обязательно сканируйте, как только восстановление будет завершено, при необходимости отбросьте еще дальше.

    Я не могу сразу найти много информации об удалении двух троянов, определенных в результатах сканирования. Это немного беспокоит меня. Я настоятельно рекомендую строить с нуля с удалением трояна.


    Нормализация:

    Подключите к сети, убедитесь, что все работает так, как было до этого.


    Анализ:

    Как вы получили троян? Кто-то делает что-то неправильно? Можете ли вы упростить правила брандмауэра, политики безопасности, обновление программного обеспечения и т. Д., Чтобы улучшить свою позицию?

    Я бы порекомендовал уничтожить серверное оборудование и перестроить с нуля.

    Чем лучше взломать меньше шансов на удаление вирусов. Некоторые плохие актеры могут скомпрометировать прошивку вашего сервера. Если вы не можете изолировать точку, в которой вы действительно попали под угрозу, вредоносное ПО легко может быть во всех ваших резервных копиях, если вы не проверили изображения, которые являются предварительными вторжениями.

    Серверы дешевы, просто получите новое оборудование и заблокируйте эту коробку лучше.

    Linux и Unix - лучшая ОС в мире.