Возможный дубликат:
Как мне поступить с взломанным сервером?
Я просканировал весь свой vps, обнаружив папку выше с большим количеством вирусов. Могу ли я безопасно удалить эту папку? Могу ли я через ssh или есть способ сделать это через командную строку?
Конкретные результаты:
/tmp/.xzibit/new64: UNIX.Exploit.CVE_2010_3301-2 FOUND
/tmp/.xzibit/c/robert_you_suck.c: UNIX.Exploit.CVE_2010_3301-1 FOUND
/tmp/.xzibit/ab: UNIX.Exploit.CVE_2010_3301-1 FOUND
/tmp/.xzibit/3/ptrace: Linux.RST.B-1 FOUND
/tmp/.xzibit/3/ptrace24: Linux.Rst.A FOUND
/tmp/.xzibit/3/elf: Exploit.Linux.Race.C FOUND
/tmp/.xzibit/3/brk: Linux.Brk.B FOUND
/tmp/.xzibit/3/90: Linux.Osf.3974 FOUND
/tmp/.xzibit/3/ex: Linux.RST.B-1 FOUND
/tmp/.xzibit/3/x: Linux.RST.B-1 FOUND
/tmp/.xzibit/3/ee: Linux.RST.B-1 FOUND
/tmp/.xzibit/3/nc: Linux.Rst.A FOUND
/tmp/.xzibit/3/e2: Linux.RST.B-1 FOUND
/tmp/.xzibit/3/uselib24: Exploit.Linux.Race.C FOUND
/tmp/.xzibit/1/32/therebel/exploit.c: Exploit.Linux-2 FOUND
/tmp/.xzibit/01: UNIX.Exploit.CVE_2010_3301-2 FOUND
Дополнительная информация: Я заметил, что сайты на этом сайте в прошлом были скомпрометированы, отсканированы и очищены. Это был первый раз, когда я решил сканировать все, а не только веб-каталог. Это единственное, что заставляет меня поверить, что это оставшийся мусор, который я пропустил раньше и пришел с одного из сайтов (поскольку он все еще застрял в каталоге tmp). Правильно ли это предположить?
ПРИМЕЧАНИЕ. Вам следует немедленно обратиться к специалисту по безопасности системы Linux по поводу вашего вопроса, поскольку ваша система может быть взломана.
Похоже, ваша система каким-то образом скомпрометирована.
Описанная папка представляет собой «точечный файл» Linux. «Точечные файлы» обычно используются для хранения данных конфигурации программ, однако, как вы видите в своих результатах, в этой папке находится несколько программ на языке C, что также не является хорошим знаком.
Вы можете попробовать Rootkit Hunter (http://rkhunter.sourceforge.net/), чтобы проверить наличие руткитов.
Если ваш VPS находится на общем сервере / хостинге, вам, вероятно, следует обратиться к своему хостинг-провайдеру.
Если окажется, что это вирус / руткит / бэкдор, и вы можете удалить его из своей системы, вы также можете подумать об изменении паролей, если вы не уверены в безопасности своей системы.
Скорее всего, вы можете удалить файлы, но это может не решить проблему, если они успешно использовали вашу систему.
Что касается / tmp /, используйте следующее в качестве руководства для принятия решения о том, следует ли удалять файлы:
"Этот каталог содержит в основном файлы, которые требуются временно. Многие программы используют его для создания файлов блокировки и для временного хранения данных. Не удаляйте файлы из этого каталога, если вы точно не знаете, что делаете! Многие из этих файлов важны в настоящее время запуск программ и их удаление может привести к сбою системы. Обычно он все равно не будет содержать больше нескольких КБ. На большинстве систем этот каталог очищается при загрузке или завершении работы локальной системой. Основанием для этого было историческое прецедент и общепринятая практика.Однако это не было обязательным требованием, потому что системное администрирование выходит за рамки FSSTND. По этой причине люди и программы не должны предполагать, что какие-либо файлы или каталоги в / tmp сохраняются между вызовами программы. Причина этого - соответствие стандарту IEEE P1003.2 (POSIX, часть 2) ".
Источник: http://www.tldp.org/LDP/Linux-Filesystem-Hierarchy/html/tmp.html
Чтобы удалить все файлы / папки в этом каталоге rm -rf /tmp/.xzibit
Просто имейте в виду, что ваша система все еще может быть взломана так, как у вас нет инструментов для обнаружения.
РЕДАКТИРОВАТЬ: См. Ответ Майкла Хэмптона на ваш вопрос для получения рекомендаций о дальнейших действиях.