-2

У меня есть 4 сервера Debian, которые заразились все вместе ровно за один раз, и они как-то посылают, что сеть застревает.

Эти серверы не являются веб-серверами, и только SSH установлен. Я проверил запущенные процессы, и это странное имя процесса выглядит как вирус. Он создает строку в crontab и, когда я ее удаляю, создает себя снова.

Одна странная вещь состоит в том, что все эти 4 сервера имеют одного и того же пользователя / пароль, а также порт ssh по умолчанию 22. Другой сервер, который у меня есть в той же сети VMware, имеет тот же ОС, подключенный к этим 4 серверам, но никогда не имел такой проблемы , может быть, я должен сказать вам, что пароль был 5-ти символичным и простым.

На данный момент я переустановил Debian на них и изменил пароль root, а также ssh порт.

Я действительно ценю предложение.

|источник

1 ответ1

0

Мой совет? Загляните в каталог /tmp/ и посмотрите, есть ли там что-то, чего там быть не должно. 9 раз из 10 вредоносных программ в системах Linux смогут установить себя в /tmp/ .

Если вы не уверены, что должно / не должно быть в /tmp/ есть простая, но экстремальная вещь, которую вы можете сделать, чтобы убрать плохие вещи. Просто запустите это онлайн в командной строке:

rm -rf /tmp && mkdir /tmp && chown root:root /tmp && chmod 1777 /tmp

Или выполните каждую команду в отдельности, как это:

sudo rm -rf /tmp 
sudo mkdir /tmp
sudo chown root:root /tmp
sudo chmod 1777 /tmp

Затем перезагрузите сервер, чтобы посмотреть, все ли прояснится. Если это так, поздравляю! Но вы еще не вышли из леса, поскольку, что бы ни вызвало первоначальная система, все еще может проникнуть в вашу систему, это лишь вопрос времени, когда они снова заразят вас. Это означает, что это устраняет беспорядок, вызванный слабостью вашей системы, но вам нужно выяснить, что это за слабое место, и укрепить его.

Если ваши серверы заражены, заражение должно было прийти откуда-то. Поскольку прошлым летом была обнаружена ошибка bash shellshock, высока вероятность того, что ваша машина была заражена эксплойтом на сервер, который воспользовался этой ошибкой. Вы можете проверить, выполнив эту команду из командной строки:

env x='() { :;}; echo vulnerable' bash -c 'echo hello'

Если вы заражены, он вернет следующий вывод:

vulnerable
hello

hello это приемлемый вывод. vulnerable означает, что версия bash установленная в системе, уязвима для эксплойтов «Shellshock».

Итак, теперь, когда мы знаем, что у этой версии bash есть проблема, давайте введем следующие команды, чтобы установить обновление bash .

apt-get update
sudo apt-get install --only-upgrade bash

Как только это будет сделано, снова запустите этот взломанный тест:

env x='() { :;}; echo vulnerable' bash -c 'echo hello'

И выходной на этот раз должен быть только hello . Что означает, что bash теперь твердый.

Но все это предполагает, что проблема была в использовании bash . Если что-то еще случилось, что-то еще должно быть сделано.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .