マルウェアに感染したCENTOSサーバーがあります。上部にすべてのCPUを消費する未知のプロセスがあることを示すメッセージが表示され、そのプロセスを終了すると別の名前で再生成されます。
このマルウェアを治療し、根本的な原因を見つけるための最良の方法は何ですか?このような状況でウイルス対策ソフトウェアをインストールすると役に立ちますか?それではどれですか?
ベストアンサー1
rootアクセス権を取得した後(あなたが持っているように聞こえますが)、推奨されるアプローチはオペレーティングシステムを再インストールし、注意深いバックアップからデータを復元します。重要なシステムであれば、すぐにネットワーク接続を切断します。
サーバーがそれほど重要ではない場合は、根本原因を追跡してこれらの問題が再発しないように対策を講じることが教育的かもしれません。ただし、これを行うには、オペレーティングシステムとUnixツールに精通している必要があります。
システムをクリーンアップするのに長い時間がかかることがありますが、新しいオペレーティングシステムを再インストールしないと、すべての悪意のあるバイナリやスクリプトが削除されたとは100%確信できません。
McAfeeなどのベンダーはLinux用のウイルス対策ソフトウェアを提供していますが、それを使用している人を見たことはありません。おそらく、会社のポリシーに基づいてウイルス対策ソフトウェアを使用する必要があるかもしれません。
編集する:後でインストールしますヘッドハンター(Rootkit Hunter)は、ルートキット、バックドア、その他のさまざまな脆弱性を検索するツールです。クリーンなシステムにインストールする必要があり、夜間のcron操作を使用してシステムバイナリで違いを確認し、違いが見つかった場合は警告を表示する必要があります。 CentOSシステムでは、RPMに組み込まれている検証を使用するように設定することもできます。これは、rpm -VaRPMパッケージマネージャによってインストールされたすべてのファイルの検証を実行するのに便利な追加機能だと思います。