servidor Web infectado por Trojan backdoor, como corrigir?

Navegue suas respostas
3

Recentemente, meu servidor linux envia um arquivo muito grande (10mb-10G / s fora em determinados momentos, mas não consigo descobrir qual é a causa. Aqui está a captura de tela

euusooclamavparaescaneartodososarquivoseobtiveosresultados

19975/usr/sbin/lsof:Linux.Trojan.AgentFOUND19988/usr/sbin/ss:Linux.Trojan.AgentFOUND20076/usr/bin/bsd-port/getty:Linux.Trojan.AgentFOUND20095/usr/bin/.sshd:Linux.Trojan.AgentFOUND103568/bin/ps:Linux.Trojan.AgentFOUND103575/bin/netstat:Linux.Trojan.AgentFOUND103580/opt/apache-tomcat-8.0.23/bin/.Rape:Unix.Trojan.Elknot-1FOUND8781/tmp/udp25111:Linux.Trojan.AgentFOUND

Parecequeeutenhoumtrojanbackdooreestouocupadoporumhackercomoumdispositivodedôdo.Euviesteartigoquedescreveexatamenteamesmacoisaqueencontro link

Como posso remover o cavalo de Tróia e recuperar os utilitários flexionados?

    
por hkguile 19.08.2015 / 18:11

2 respostas

4

Existem procedimentos gerais de resposta a incidentes que você realmente deve seguir:

  • Desconectar
  • Avaliar
  • Alterar informações de segurança
  • Corrigir
  • Normalizar
  • Analisar

Desconectar:

Desde que você esteja conectado à rede, esses trojans podem continuar a alcançar os servidores C & C e gerar novas maldades.

Avalie:

Descubra o que está acontecendo. Talvez outros sistemas em sua rede também sejam afetados.

Alterar informações de segurança:

Você DEVE assumir que qualquer informação de segurança que você tenha neste servidor foi comprometida. Isso significa que todas as senhas, certificados, tokens, etc. que moram no servidor devem ser alterados, revogados ou se tornarem não confiáveis.

Corrigir:

Muitas vezes não vale a pena remover trojans. Em muitos casos, o malware moderno é extremamente resiliente às tentativas de remoção. Recrie o sistema ou restaure a partir de backups. Se estiver restaurando a partir de backups, lembre-se de fazer a varredura assim que a restauração estiver concluída - reverta ainda mais, se necessário.

Não sou imediatamente capaz de encontrar muitas informações sobre a remoção dos dois trojans identificados nos resultados da verificação. Isso é um pouco preocupante para mim. Eu recomendo strongmente a criação do zero sobre a remoção do trojan.

Normalize:

Reconecte-se à rede e verifique se tudo está funcionando como antes.

Analise:

Como você conseguiu o trojan? Alguém está fazendo algo errado? Você pode endurecer regras de firewall, políticas de segurança, atualização de software, etc. para melhorar sua postura daqui para frente?

    
por 19.08.2015 / 19:46
0

Eu recomendaria o lixo do servidor e a reconstrução a partir do zero.

Quanto melhor o hack, menor a chance de remover o malware. Alguns agentes mal-intencionados podem comprometer o firmware do seu servidor. A menos que você consiga isolar o ponto em que você realmente foi comprometido, o malware pode facilmente estar em todos os seus backups, a menos que você tenha verificado imagens pré-invasão.

Os servidores são baratos, basta adquirir um novo hardware e bloquear a caixa melhor.

    
por 19.08.2015 / 21:25

Tags

Usando o awk para armazenar um número binário no arquivo de texto como uma string e depois converter para hexadecimal Como obter informações do disco rígido de / proc e / ou / sys