Я обнаружил вирус в Ubuntu, что мне делать? [закрыто]
Мой сервер LAMP получил вирус. (Я думаю). Корневой раздел начал заполняться. он заполнился (без журналов). После перезапуска использованное пространство корня вернулось к 4% (как обычно). Я переустановил сервер, но сохранил старые корневые файлы, чтобы сохранить конфигурацию.
После этого, Я попытался удалить сохраненные файлы, начали исчезать только одни файлы, которые я не мог удалить с помощью root, а затем что-то начало снова создавать всю "старую" корневую файловую структуру. Все удаленные папки вернулись. Мне нужно было отформатировать диск, чтобы избавиться от него. К сожалению, у меня есть еще одна копия с этого диска. Нужно ли мне предпринять какие-то меры безопасности?
1 ответ
Если вы считаете, что ваша система была взломана,
- Переведите вашу систему в автономный режим
- Если вы собираетесь провести анализ безопасности, используйте
dd, чтобы сохранить копию Ваша скомпрометированная система на отдельном безопасном носителе. Я подозреваю, что это то, что вы подразумеваете под «действием безопасности». Вы не можете подать полезную ошибку безопасности, пока не узнаете, в чем заключается уязвимость, поэтому продолжайте расследование в своей тестовой системе. - Протрите диск и переустановите Ubuntu с нуля
- Восстановите данные из резервных копий. НЕ переносите данные из скомпрометированной системы
Если у вас нет резервных копий, значит, вы только что усвоили важный жизненный урок.