Возможный дубликат:
Мой сервер был взломан в АВАРИИ
Я установил все меры безопасности и инструменты мониторинга журналов. Теперь, но я не знаю, что делать, если обнаружил, что в моей системе есть руткит.
Если в моей системе работают действующие сайты, и я тоже не могу выключить сервер. Как удалить инфекцию
Что касается резервных копий, следует ли мне делать резервные копии всей системы Linux или только каталога и базы данных public_html. потому что в настоящее время я создаю резервные копии только этих папок.
У меня есть VPS, и моя хостинговая компания делает ежедневные снимки, но есть другой способ обезопасить себя, чтобы в случае заражения руткитом я мог его восстановить.
Если на вашем веб-сервере есть вирус, только безопасное дело - сбить ядерную бомбу из космоса. Правильно, поместите его в следующую миссию космического челнока и убедитесь, что он выброшен достаточно далеко от земли, чтобы мы все не подверглись воздействию ЭМИ или радиоактивных осадков, и нажмите красную кнопку, которая заставит его взорваться.
Если это невыполнимо, слишком дорого или у вас, в вашем местном торговом центре, закончились ядерные бомбы, тогда единственный Другой способ убедиться, что вирус ушел, - это отформатировать сервер. Ваш хостинг-провайдер может помочь вам в этом, настроив второй VPS и предоставив вам месяц или около того, чтобы переместить все, прежде чем отключать и удалять текущий экземпляр. Конечно, если вы просто перенесете все без разбора со старого VPS на новый VPS, вы, скорее всего, принесете вирус с собой.
Если у вас есть данные о клиентах и существует риск их утечки, участия в ботнете или в системе был оставлен бэкдор, то вы обязаны сделать все, что в ваших силах, и просто сканирования / удаления любого известного вируса на самом деле недостаточно, потому что вы просто никогда не знаете, что они оставили.
Что касается резервных копий, я бы сказал, что вы поступаете правильно, потому что у вас не должно быть разрешений на выполнение для чего-либо public_html папка и база данных вряд ли содержат что-либо вредоносное.
Резервные копии, резервные копии, резервные копии. К сожалению, невозможно быть уверенным, что руткит ушел без форматирования и восстановления из резервной копии. Я бы сохранил резервные копии каталогов данных каждой из ваших служб (веб-сервера, поэтому /home/*/public_html и /var/www; MySQL, наверное /var/lib/mysql, прочтите каждую службу, которую вы используете, чтобы найти, где хранятся файлы) и резервную копию вашей конфигурации (/etc), а также любые локальные изменения, внесенные вами в системный и домашний каталоги (/home/*, /usr/local/*) как минимум.
Чтобы подробнее рассказать о потенциальных руткитах, как только они получат привилегии root, они могут замаскировать каждый подписать, что они существуют в зараженной системе.
Я бы посоветовал вам хранить резервные копии только ваших данных: файлов вашего сайта и данных вашей базы данных. Не храните эти резервные копии в системе. Если вы заразитесь или сервер будет скомпрометирован, вы можете попросить ваш хост «инициализировать» сервер (сбросить его до исходного состояния), вы скопируете свои данные и снова подключитесь к сети с чистым сервером.
Я также предлагаю вам очистить свою систему и выяснить, как вы заразились / скомпрометированы в первую очередь, и принять меры, чтобы это не повторилось.