Возможный дубликат:
Мой сервер был взломан в АВАРИИ
Злоупотребление серверным контроллером ZeuS
Мы предупредили нашу хостинговую компанию о том, что на нашем сервере есть контроллер ботнета (zeus). Но мы не знаем, как он установлен и как его обнаружить и удалить.
В прошлом мы ничего не устанавливали и не знаем, где находится этот контроллер.
Это выделенный сервер.
Как мы можем это обнаружить? Может помочь найти антивирусное программное обеспечение, такое как CLAM AV?
Ответ @Glen - хорошее начало, но хороший установщик ботнета будет использовать руткит, который скрывает большинство системных утилит (поэтому они не будут показывать их при проведении криминалистической экспертизы). По-настоящему хороший из них даже потрудится изменить исходный код или библиотеки, так что даже скомпилированные сейчас двоичные файлы будут "слепыми". Единственный реальный способ - попросить вашего хостинг-провайдера показать вам журналы трафика, которые указывают на то, что вы скомпрометированы, и подтвердить, что подключено к этому порту через lsof или netstat. Что, если он ничего не показывает, все равно не означает, что вы не были скомпрометированы.
lsof и netstat могут быть полезны для выслеживания ботов и вышибал. 'lsof -i | grep -i irc 'помогал мне находить их в прошлом, но я сомневаюсь, что это уловит все. Если вы видите что-то странное с netstat / lsof, вы можете продолжить исследование pid с помощью ls -lah / proc / $ pid /.