Этим утром я смотрел ежемесячный вебинар об IT-безопасности. Одной из актуальных тем была вредоносная программа «бормотание». Эта вредоносная программа делает ваш сервер частью ботнета и рассылает спам по электронной почте. Вредоносная программа находится в папке / tmp или / var / tmp. Поэтому я посмотрел на эту папку и увидел несколько папок. Одной из них была папка owncloud, которая называлась "owncloud-occ23cq12x22 ...". Модератор вебинара сказал, что папка с символами, как в этом примере выше, является папкой вредоносных программ. Я перезапустил свой сервер, потому что папка tmp будет очищена. Теперь в этой папке ничего нет (папка mc только для midnight-commander). Возможно ли, что это была вредоносная программа или это нормально, что owncloud создает эту папку tmp? Я установил owncloud на своем веб-сервере.
Спасибо
Совершенно нормально для программного обеспечения создать файлы и их собственный каталог в/tmp/, чтобы хранить временные файлы (скорее всего, это связанные с сессией файлы). Для именно это/tmp/.
В целом эти файлы содержат название программного обеспечения (как Ваш пример с owncloud* и "случайный" набор символов позади него). Если бы Вы никогда не устанавливали owncloud, и у Вас есть эти файлы, я ожидал бы, что что-то будет неправильно. Если бы Вы действительно устанавливали (как Вы сделали), это, то я предположил бы, что все в порядке.
В моем собственном/tmp/я имею sni-qt_synergy
. Совместные действия являются программным обеспечением для соединения 2 систем с 1 мышью и клавиатурой. Вы будете также видеть это поведение при использовании шифрования (хотя это, вероятно, будет за пределами/tmp/).
В данный момент и с информацией Вы, если я сказал бы: совершенно нормальный.
<час> Связанный с вредоносным программным обеспечением: это установлено от использования WordPress и Joomla и взломанного DirectMailer (если у Вас нет их, Вы в безопасности (r)), и обнаружение очень просто, так как это создает свое собственное задание крона. crontab -l
используемый с корнем и more /etc/crontab
будет всегда показывать, присутствует ли это вредоносное программное обеспечение в Вашей системе
, Удаляют то задание крона, чистят/tmp (или/var/tmp) и удаляют взломанный DirectMailer.