VPSサーバーがありますが、ハッキングされました。常にprotsを受け取るバックドアをインストールし、完全/ディレクトリを操作します。
inotifywaitを使用すると、ウイルスプログラムは常に新しい名前のバックドアプログラムを削除して生成し、2秒ごとに実行することがわかります。
今、どのプログラムが作成され削除されたかを確認する方法を知りたいです。したがって、/usr/bin/書き込みと削除、およびオペレータPIDを記録する必要があります。
'プログラムマム'が誰なのか分かれば完全だまされそうだった。
ベストアンサー1
免責事項:私はセキュリティ専門家ではなく、興味があるだけです。サーバーがあなた/あなたの仕事に重要であるか重要である場合は、セキュリティ監査人の専門サービスを見つけることをお勧めします。
inotifyはプロセスIDに関する情報を提供しないため、実行してファイルが開いているプロセスをlsof | grep FILENAME確認できますが、長時間ファイルを開いたままにしない限り、ファイルに書き込む途中でプロセスをキャッチできます。
しかし、システムが破損しています。悪意のある攻撃が何をしたのかを把握できる良い/信頼できる方法がないため、信頼できないと思います。したがって、システムのどの部分が損傷しているかはわかりません。たとえば、lsバックドアを削除したと考えても、バックドアを再ダウンロードするようにバイナリを変更できます。感染したシステムを適切かつ徹底的に治療することは簡単な作業ではなく、その間にシステムと戦わないようにオフラインで実行するのが最善です。
理想的には、感染したシステムを直ちにシャットダウンして、そのシステムがすでに実行していたよりも(自社のオペレーティングシステムまたは他のシステムに)多くのダメージを与えるのを防ぐ必要があります。システムに依存すると、これは難しいかもしれませんが、そうしないと、より悪い結果につながる可能性があります(完全にシステムの機能によって異なります)。
私の考えにきれいなシステムを確保するための最良の方法は、ウイルス/マルウェアを確認した後にコピーできない必須データのみ(可能な限りバックアップから)他のVPSで最初からリセットすることです。移行されたボックスが破損しているため、新しいボックスも破損する可能性があります。
攻撃者がどのように侵入したかを調べるためにシステムを調査できるように、しばらくの間既存のシステムをオフラインにしておくと便利です。この情報は、システムのセキュリティを向上させるために使用されます。
最善の措置は、システムの目的と重要性によって異なります。したがって、セキュリティ監査人がシステムと設定を確認し、あなたができる最善のアドバイスを提供することをお勧めします。