Meu servidor foi infectado e o invasor espalhou um monte de .5randomletters pastas no meu sistema de arquivos, com código malicioso dentro delas. Quero pesquisar todas as pastas que começam com um ponto, revê-las e depois removê-las.
Como posso fazer isso?
My server had been infected and the attacker spread (...) malicious code (...).
Essa é a única maneira de ter certeza de que tudo está seguro novamente. Se você quiser, você pode fazer uma imagem e analisar como o atacante entrou no sistema, mas para esse sistema a única salvação é reinstalar do zero . Não remover apenas os "arquivos de ponto" irá tornar-se seguro de que seu sistema é oke
Use find para encontrar todos os diretórios que começam com "." e seguido por 5 caracteres:
find / -type d -name '.?????'
Observe que sua melhor opção é provavelmente restaurar a partir do backup e corrigir o buraco em que eles costumavam entrar. A limpeza de um sistema pode ser quase impossível, se o invasor for competente. Você provavelmente deve trazer uma cópia externa do utilitário find , caso tenha sido backdoored para ocultar esses diretórios.
Antes de você "eliminar isso de órbita", acho que você deve encontrar o vazamento primeiro , para evitar que incidentes como esse aconteçam novamente. Então:
Você nunca deve inicializar o sistema quebrado novamente, apenas analisá-lo offline, apenas os dados do disco, de outro sistema, e nunca executar nenhum executável nele.
Use a localização:
find /a/path -type d -iname ".*"
em que /a/path é o caminho no qual você deseja procurar os diretórios. No seu caso, provavelmente seria / , -type d significa pesquisar somente por diretórios, -iname ".*" significa com nome começando com . .
Tags security