Я нашел вирус на Ubuntu, что делать? [закрыто]
Мой сервер LAMP получил вирус. (Я думаю.) Корневой раздел начал заполняться. Но нет никакой информации о том, что он заполняет (без журналов). После перезагрузки используемое пространство корня вернулось к 4% (как обычно). Я переустановил сервер, но я сохранил старые корневые файлы, чтобы сохранить конфигурацию.
Впоследствии я попытался удалить сохраненные файлы, он начал исчезать только с одного файла, который я не мог удалить с помощью root, а затем что-то начал снова создавать всю «старую» корневую файловую структуру. Все удаленные папки вернулись. Мне нужно было отформатировать диск, чтобы избавиться от него. К сожалению, у меня есть еще одна копия. Нужно ли мне делать какие-то действия безопасности?
3 ответа
Если вы считаете, что ваша система была скомпрометирована,
Внесите вашу систему в автономном режиме. Если вы намерены провести анализ безопасности, используйте dd, чтобы сохранить копию вашей скомпрометированной системы на отдельном безопасном носителе , Я подозреваю, что это то, что вы подразумеваете под «действием безопасности». Вы не можете подать полезную ошибку безопасности, пока не узнаете, что такое уязвимость, поэтому продолжайте исследовать свою тестовую систему. Протрите диск и переустановите Ubuntu с нуля. Восстановите данные из резервных копий. НЕ ПЕРЕДАЙТЕ данные из взломанной системыЕсли у вас нет резервных копий, вы только что узнали важный жизненный урок.
Если вы считаете, что ваша система была скомпрометирована,
Внесите вашу систему в автономном режиме. Если вы намерены провести анализ безопасности, используйте dd, чтобы сохранить копию вашей скомпрометированной системы на отдельном безопасном носителе , Я подозреваю, что это то, что вы подразумеваете под «действием безопасности». Вы не можете подать полезную ошибку безопасности, пока не узнаете, что такое уязвимость, поэтому продолжайте исследовать свою тестовую систему. Протрите диск и переустановите Ubuntu с нуля. Восстановите данные из резервных копий. НЕ ПЕРЕДАЙТЕ данные из взломанной системыЕсли у вас нет резервных копий, вы только что узнали важный жизненный урок.
если вы считаете, что ваша система была скомпрометирована,
привести к отключению системы, если вы намерены делать анализ безопасности, используйте кнопки [F1], чтобы сохранить копию вашей системы на отдельном безопасном носителе. Я подозреваю, что это то, что вы подразумеваете под 'меры безопасности'. Вы не можете подать полезный баг безопасности, пока вы не знаете, что Уязвимость есть, так держать расследование на тестовой системе. Протри диск и переустановить убунту с нуля восстанавливать данные из резервных копий. Не переносятся данные из взломанной системыесли у вас нет резервных копий, то вы только что узнали важный урок жизни.