Мой выделенный сервер Centos 6 майнил. Я просканировал систему с помощью clamscan. ClamAV и вот лог: - уже перебрал Как мне поступить с взломанным сервером?
Сервер физически недоступен, как я могу отключиться от Интернета?
Я подозреваю, что / bin / mig - это зараженный файл. Могу ли я удалить его, поскольку он не принадлежит ни одному пакету?
/ bin / mig: Unix.Malware.Agent-6743195-0 НАЙДЕНО /home/XXXX/mail/XXXX.com/info/new/1539098255.M12312312.sXXXX-XX-XX-XX.erver.net,S=22802, W = 23120: Heuristics.Phishing.Email.SpoofedDomain НАЙДЕНО ПРЕДУПРЕЖДЕНИЕ: Невозможно открыть файл / sys / devices / virtual / tty / tty / ve_device_add: Permission denied WARNING: Невозможно открыть файл / sys / devices / virtual / tty / console / ve_device_add: В доступе отказано ПРЕДУПРЕЖДЕНИЕ: Невозможно открыть файл / sys / devices / virtual / tty / ptmx / ve_device_add: Permission denied WARNING: Can't open file / sys / devices / virtual / tty / tty0 / ve_device_add: Permission denied ПРЕДУПРЕЖДЕНИЕ: Невозможно открыть файл / sys / devices / virtual / tty / tty1 / ve_device_add: Permission denied WARNING: Can't open file / sys / devices / virtual / mem / full / ve_device_add: Permission denied WARNING: Can't open file / sys / devices / virtual / mem / random / ve_device_add: в разрешении отказано ПРЕДУПРЕЖДЕНИЕ: невозможно открыть файл / sys / devices / virtual / mem / urandom / ve_device_add: в доступе отказано ПРЕДУПРЕЖДЕНИЕ: невозможно открыть файл / sys / devices / virtual / misc / tun / ve_device_add: В доступе отказано ПРЕДУПРЕЖДЕНИЕ: Может ' t открыть файл / sys / devices / virtual / block / ploop11014 / ploop11014p1 / ve_device_add: в разрешении отказано /usr/local/cpanel/cpaddons/cPanel/Blogs/WordPress/upgrade/2.7.1_2.8/diff: Html.Exploit._1804_20 -1 НАЙДЕНО
Извините за это - TL; DR - вам нужно, чтобы кто-то восстановил ваш сервер с нуля.
Относительно отключения сервера - совет, который вы нашли, является общим и может быть неприменим. Тем не менее, это лучшая практика. Я думаю, что теоретически вы должны попросить того, кто установил его, отключить его. Предполагая, что это правильно, и у вас есть статический IP-адрес, вы можете изолировать свой компьютер с помощью iptables. Обратите внимание, что это рискованно и может заблокировать вас, если ваш IP-адрес изменится или я ошибся - поэтому убедитесь, что его можно перезагрузить. (Может быть, запланировать работу cron?)
Следующая строка теоретически должна ограничивать доступ только вашим IP. Это нужно сделать в одну строку, потому что сначала он блокирует все, независимо от текущих правил и вашего IP-адреса, а затем позволяет передавать данные на ваш IP-адрес и обратно. Чтобы быть ясным, YOUR.IP - это IP-адрес, с которого вы хотите подключиться к серверу. -
/sbin/iptables -I INPUT -j DROP; /sbin/iptables -I INPUT -s YOUR.IP -j ACCEPT; /sbin/iptables -d YOUR.IP -j ACCEPT
Дело в том, что удаление зараженного файла не решит проблему. Был задействован механизм как для загрузки этого файла, так и для его запуска. Вам необходимо выяснить, как это произошло, и предотвратить повторение.
Что еще хуже, ваша система ненадежна - чтобы иметь хоть какую-то уверенность в ее чистоте, вам придется стереть ее и полностью переустановить. Примечание / bin / mig - этот файл не должен иметь необходимых root-прав для установки в этом месте. Это означает, что злоумышленник имеет root-доступ. Это означает, что они могут полностью замести следы и установить дополнительные бэкдоры, которые практически невозможно обнаружить. Умные деньги говорят, что они это сделают, поскольку самая сложная часть - получить root-доступ.