Я новичок в своей компании, и через неделю я обнаружил, что сервер Linux компании содержит вирус ... желая выяснить, в чем причина заражения вирусом, я заметил, что сервер давно не обновлен !! и я думаю, но не уверен, что это причина того, что вирус взломал систему.
Через терминал lsb_release -a команда отображает следующее:
No LSB modules are available.
Distributor ID: Debian
Description: Debian GNU/Linux 5.0.10 (lenny)
Release: 5.0.10
Codename: lenny
Я знаю, что он слишком старый (lenny !!), и мне нужно обновить систему до Debian 7.0 Wheezy. Вопросы следующие:
Я сомневаюсь, поскольку версии слишком старые, а мои знания о сервере Linux очень ограничены.
Если на вашем компьютере установлен руткит (наиболее опасный вирус), он, скорее всего, вставил код в ваши модули ядра (чтобы он мог скрываться при использовании обычных инструментов обнаружения, таких как md5sum или netstat), и в библиотеки (чтобы другие инструменты, установленные кроме обычных детективных, также будут благородны).
Есть ряд инструментов, которые стоит иметь, скомпилированы со всеми библиотеками, основными из которых являются sash, ps, netstat и md5sum.
Если вы не знаете, что делаете, то определить степень руткита может быть невозможно. Когда меня ударили в прошлом, как только я определил поведение, которое, я абсолютно уверен, показывает злонамеренного захватчика, я выключил машину, купил новые диски, сделал новую установку, обновил и заблокировал новый ящик, и только потом получите доступ к старым дискам для восстановления данных.
Если вы используете очень старую версию linux (у меня все еще есть один сервер с 8.04LTS), убедитесь, что вы запускаете только минимум служб, подключенных к Интернету, и регулярно отслеживаете сервер. Если что-то неожиданно изменится, вам нужно действовать быстро, так как бот-хакер может за несколько часов перейти от эксплуатации чего-то незначительного к добавлению скриптов уровня пользователя. По возможности храните системный журнал на другом компьютере.
Если вы не опытный системный администратор, то серьезно прислушайтесь к советам других, вам нужно поддерживать их в актуальном состоянии, иначе вы сильно рискуете.
Это должен быть комментарий, но он довольно длинный.
"сервер Linux компании содержит вирус"
Это немедленно вызывает звонок у меня. Вирусы в Linux чрезвычайно редко. Есть много других вредоносных программ (черви, трояны, руткиты). Если это файловый сервер, то он может просто хранить вирус, который там написал другой компьютер. Обновление ОС не поможет. Это поможет с большинство других типов вредоносных программ - но их существование подразумевает уязвимость, которая могла быть в ОС, но могла быть в конфигурации или в коде, запущенном на сервере, который не является частью ОС (например, веб-сайт система управления контентом), которые не будут исправлены обновлением ОС.
Обязательно обновите ОС, если хотите, чтобы вас заметили. Но если вы расскажете нам о происшествии столько, сколько вам известно, есть вероятность, что мы сможем помочь вам сделать машину более безопасной.