最近、私のLinuxサーバーはある時点で非常に大きなファイル(10mb-10G / s)を転送しましたが、理由はわかりませんでした。以下はスクリーンショットです。
clamavを使用してすべてのファイルをスキャンし、結果を取得します。
19975 /usr/sbin/lsof: Linux.Trojan.Agent FOUND
19988 /usr/sbin/ss: Linux.Trojan.Agent FOUND
20076 /usr/bin/bsd-port/getty: Linux.Trojan.Agent FOUND
20095 /usr/bin/.sshd: Linux.Trojan.Agent FOUND
103568 /bin/ps: Linux.Trojan.Agent FOUND
103575 /bin/netstat: Linux.Trojan.Agent FOUND
103580 /opt/apache-tomcat-8.0.23/bin/.Rape: Unix.Trojan.Elknot-1 FOUND
8781 /tmp/udp25111: Linux.Trojan.Agent FOUND
バックドアトロイの木馬にかかってハッカーたちにDDoS装備として利用されたようです。私が経験したことと同じことを説明する記事を見ました。http://news.drweb.com/?i=5801&c=5&lng=en&p=0
トロイの木馬を削除し、変形したユーティリティを検索するには?
ベストアンサー1
実際には、次の一般的な事故対応手順に従う必要があります。
- 切断する
- 評価する
- セキュリティ情報の変更
- 固定する
- 標準化
- 分析する
切断:
インターネットに接続している限り、これらのトロイの木馬は引き続きC&Cサーバーに接続し、新しい悪意のある動作を引き起こす可能性があります。
評価する:
何が起こっているのか調べてください。おそらくネットワークの他のシステムも影響を受ける可能性があります。
セキュリティ情報の変更:
お客様は、このサーバー上のすべてのセキュリティ情報が破損していると想定する必要があります。これは、サーバー上のすべてのパスワード、証明書、トークンなどを変更、キャンセル、または信頼できないようにする必要があることを意味します。
問題を解決してください:
一般的に、トロイの木馬を取り除くことは価値がありません。ほとんどの場合、最新のマルウェアはアンインストールの試みに対する回復力が非常に優れています。システムを再構築するか、バックアップから復元してください。バックアップから復元する場合は、復元が完了したらすぐにスキャンを実行し、必要に応じてさらにロールバックすることもできます。
スキャン結果で確認された2つのトロイの木馬の削除に関する追加情報がすぐに見つかりませんでした。この点は少し心配です。トロイの木馬を削除するよりも、最初から新しく構築する方が良いです。
標準化:
ネットワークに再接続し、問題が発生する前のようにすべてが機能していることを確認します。
分析する:
トロイの木馬をどのように得ましたか?誰かが何か間違った人がいますか?将来の状況を改善するために、ファイアウォールルール、セキュリティポリシー、ソフトウェアアップデートなどを強化できますか?