Como eu removo diretórios que começam com um ponto depois que meu servidor foi infectado? [duplicado]

3

Meu servidor foi infectado e o invasor espalhou um monte de .5randomletters pastas no meu sistema de arquivos, com código malicioso dentro delas. Quero pesquisar todas as pastas que começam com um ponto, revê-las e depois removê-las.

Como posso fazer isso?

    
por viniciusmunich - AssabetTech 12.12.2013 / 19:32

4 respostas

21

My server had been infected and the attacker spread (...) malicious code (...).

NUKE DE ORBIT!

Essa é a única maneira de ter certeza de que tudo está seguro novamente. Se você quiser, você pode fazer uma imagem e analisar como o atacante entrou no sistema, mas para esse sistema a única salvação é reinstalar do zero . Não remover apenas os "arquivos de ponto" irá tornar-se seguro de que seu sistema é oke

    
por 12.12.2013 / 19:57
7

Use find para encontrar todos os diretórios que começam com "." e seguido por 5 caracteres:

find / -type d -name '.?????'

Observe que sua melhor opção é provavelmente restaurar a partir do backup e corrigir o buraco em que eles costumavam entrar. A limpeza de um sistema pode ser quase impossível, se o invasor for competente. Você provavelmente deve trazer uma cópia externa do utilitário find , caso tenha sido backdoored para ocultar esses diretórios.

    
por 12.12.2013 / 19:40
4

Antes de você "eliminar isso de órbita", acho que você deve encontrar o vazamento primeiro , para evitar que incidentes como esse aconteçam novamente. Então:

  1. Coloque o servidor offline
  2. Inicialize a partir de um disco de recuperação
  3. Monte o disco infectado
  4. Analise, encontre o vazamento
  5. Limpar instalação + endurecer + restaurar (somente dados) de backups

Você nunca deve inicializar o sistema quebrado novamente, apenas analisá-lo offline, apenas os dados do disco, de outro sistema, e nunca executar nenhum executável nele.

    
por 20.12.2013 / 21:50
3

Use a localização:

find /a/path -type d -iname ".*"

em que /a/path é o caminho no qual você deseja procurar os diretórios. No seu caso, provavelmente seria / , -type d significa pesquisar somente por diretórios, -iname ".*" significa com nome começando com . .

    
por 12.12.2013 / 19:39

Tags