Как я узнаю, что моя ОС взломана?
Я открыл папку php с веб-хостинга друга. Я использую его, чтобы исправить некоторые ошибки.
Затем я попытался прикрепить код для отправки по электронной почте, и GMAIL заявил, что вложение было заражено вирусом.
Теперь я боюсь, что мой Apache или ОС (12.04) заражены.
Я проверил php-файлы и нашел кодированный в base64 набор кода, который был 'eval'd' в верхней части каждого php-файла. Простое изменение (echo с htmlspecialchars) показало некоторую подсказку, что используются сокеты и что-то связано с разрешениями. Кроме того, было упомянуто два сайта с расширениями .ru.
Теперь я боюсь, если моя система Ubuntu будет повреждена или скомпрометирована.
Любой совет, пожалуйста!
Вот мой второй запуск rkhunter с опциями:
**sudo rkhunter --check --rwo Warning: The command '/usr/bin/unhide.rb' has been replaced by a script: /usr/bin/unhide.rb: Ruby script, ASCII text** **Warning: Hidden directory found: /dev/.udev** **Warning: Hidden file found: /dev/.initramfs: symbolic link to `/run/initramfs'**
1 ответ
Ключевая проблема, с которой вы столкнулись, заключается в следующем:
Вы просто не знаете, сколько взломано! Без квалифицированного криминалистического анализа вы можете определить, вставил ли злоумышленник какой-либо код, который прикрепляется к исходящим документам, имеет руткит, который искажает ваши личные данные, входы в систему и т. Д., Или использует ваш компьютер как часть ботнета (или все вышеперечисленное )
Считайте, что это смертельно опасно, сотрите диски полностью и переустановите с известных чистых установочных носителей и резервных копий!