TL; DR Я не спрашивал, как позаботиться о моем взломанном сервере. Я спросил, как определить, является ли файл аномальным / посторонним / неофициальным. Так что это не дубликат вопроса о скомпрометированных серверах. Это очевидно для любого, кто потратит 2 минуты на то, чтобы прочитать оба вопроса, прежде чем пометить их как повторяющиеся.
Сегодня утром у нас был отчет об аномально большом исходящем трафике с одного из наших серверов debian. Я пытался запустить netstat -tpe как root, и я нашел этот. unama это неизвестный процесс, я искал в Интернете и не нашел на него ссылки.
Я запустил whois 173.254.230.36 и я обнаружил, что IP принадлежит китайской организации по имени мейюнла.
Тогда я попробовал с which unama, просто чтобы обнаружить, что это нечитаемый двоичный файл, расположенный по адресу /bin/unama.
Кто-нибудь знает, как определить, является ли этот файл unama официальным пакетом или это что-то аномальное?
редактировать
Для информации, в итоге это был какой-то вирус, который сделал наш сервер частью ботнета. Удаление файла было бесполезным, так как через несколько минут он снова был там, используя от 60% до 100% процессора.
Пришлось выключить сервер и запустить новый, переустановив все программное обеспечение с нуля.
Только одно: никогда не используйте аутентификацию по паролю ssh на общедоступном ip :)
unama определенно не "нормальный" файл из официального пакета, см. packages.debian.org.
Вы можете проверить, исходит ли он из какого-либо установленного неофициального пакета, запустив dpkg -S /bin/unama. Это либо покажет имя установленного пакета, из которого он происходит, либо ничего не покажет, если этот файл не связан с каким-либо установленным в данный момент пакетом.
