У моего сервера 2 аккаунта взломаны, и теперь, если я попытаюсь удалить их каким-либо образом, через 1 минуту они будут автоматически добавлены с наивысшим разрешением в
visudo NOPASSWORD=ALL
So как я могу узнать, как это сделать, и удалить их навсегда?
Извините, но «Единственный правильный путь», чтобы идти, - это уничтожить машину с орбиты.
Если хакеру удалось проникнуть глубоко в вашу систему, вы никогда не узнаете, уничтожили ли вы все следы или у них еще есть еще один туз в рукаве, с помощью которого они могут восстановить доступ.
Вы должны попытаться выяснить, как они взломали систему на первом месте, так что вы можете исправить это отверстие безопасности позднее при новой установке, а затем полностью стереть всю систему и установить с нуля. Поэтому лучше всего закрыть сервер и загрузить систему, из которой вы можете клонировать все хранилище. Позже вы можете изучить это изображение в защищенной и заблокированной среде (нет доступа к Интернету или вашим бизнес-сетям и т. Д.).
Вы также должны резервировать только столько данных, сколько необходимо, но как мало насколько возможно, потому что каждый файл, который вы копируете, потенциально может быть заражен. Сравнение ваших текущих файлов данных с данными из старых резервных копий (у вас есть периодические резервные копии, правильно !?) может помочь решить, что вам нужно и что в хорошей форме.
Связанные вопросы на других сайтах Stack Exchange:
Как я могу работать с уязвимым сервером? Как вы объясняете необходимость «nuke it from orbit» для управления и пользователей?grep -rnwl '/' -e "{name}"
, где {name} - это то, что вы хотите найти. r: рекурсивный w: соответствие целому слову l: показывать только имена файлов Это займет некоторое время, в зависимости от размера диска, чтобы вы могли начать поиск / home / вместо всего диска 1st. Но я сомневаюсь, что это будет файл в / home /
Загрузите сеанс в реальном времени. НЕ используйте эту систему. Также перед этим вы также можете проверить /etc/profile, /etc/crontab, crontab -l для странных действий и в ваш / home файл .bashrc для любого действия, которого не должно бытьПосмотрите, сможете ли вы узнать, что происходит, чтобы вы могли принять меры предосторожности, чтобы этого не произошло еще раз. Лучше всего переустановить. Черт возьми, это единственный разумный вариант. Поместите свои личные файлы на USB. Обратите внимание на установленное программное обеспечение, обратите внимание на журналы маршрутизатора и скопируйте все файлы журналов из / var / log, чтобы вы могли проверить вторжения, когда вы снова очистили систему.
Тщательно восстановите свои файлы (убедитесь, что они такие, какими они должны быть, и не выполняйте их, пока вы не уверены).
Другое дело do: создайте резервную копию файла sudo, очистите его и используйте inotify, чтобы немедленно скопировать файл резервной копии поверх измененного. Это будет мешать всему, что они пытаются сделать с вашей системой.
Извините, но «Единственный правильный путь», чтобы идти, - это уничтожить машину с орбиты.
Если хакеру удалось проникнуть глубоко в вашу систему, вы никогда не узнаете, уничтожили ли вы все следы или у них еще есть еще один туз в рукаве, с помощью которого они могут восстановить доступ.
Вы должны попытаться выяснить, как они взломали систему на первом месте, так что вы можете исправить это отверстие безопасности позднее при новой установке, а затем полностью стереть всю систему и установить с нуля. Поэтому лучше всего закрыть сервер и загрузить систему, из которой вы можете клонировать все хранилище. Позже вы можете изучить это изображение в защищенной и заблокированной среде (нет доступа к Интернету или вашим бизнес-сетям и т. Д.).
Вы также должны резервировать только столько данных, сколько необходимо, но как мало насколько возможно, потому что каждый файл, который вы копируете, потенциально может быть заражен. Сравнение ваших текущих файлов данных с данными из старых резервных копий (у вас есть периодические резервные копии, правильно !?) может помочь решить, что вам нужно и что в хорошей форме.
Связанные вопросы на других сайтах Stack Exchange:
Как я могу работать с уязвимым сервером? Как вы объясняете необходимость «nuke it from orbit» для управления и пользователей?grep -rnwl '/' -e "{name}"
, где {name} - это то, что вы хотите найти. r: рекурсивный w: соответствие целому слову l: показывать только имена файлов Это займет некоторое время, в зависимости от размера диска, чтобы вы могли начать поиск / home / вместо всего диска 1st. Но я сомневаюсь, что это будет файл в / home /
Загрузите сеанс в реальном времени. НЕ используйте эту систему. Также перед этим вы также можете проверить /etc/profile, /etc/crontab, crontab -l для странных действий и в ваш / home файл .bashrc для любого действия, которого не должно бытьПосмотрите, сможете ли вы узнать, что происходит, чтобы вы могли принять меры предосторожности, чтобы этого не произошло еще раз. Лучше всего переустановить. Черт возьми, это единственный разумный вариант. Поместите свои личные файлы на USB. Обратите внимание на установленное программное обеспечение, обратите внимание на журналы маршрутизатора и скопируйте все файлы журналов из / var / log, чтобы вы могли проверить вторжения, когда вы снова очистили систему.
Тщательно восстановите свои файлы (убедитесь, что они такие, какими они должны быть, и не выполняйте их, пока вы не уверены).
Другое дело do: создайте резервную копию файла sudo, очистите его и используйте inotify, чтобы немедленно скопировать файл резервной копии поверх измененного. Это будет мешать всему, что они пытаются сделать с вашей системой.
Извините, но «Единственный правильный путь», чтобы идти, - это уничтожить машину с орбиты.
Если хакеру удалось проникнуть глубоко в вашу систему, вы никогда не узнаете, уничтожили ли вы все следы или у них еще есть еще один туз в рукаве, с помощью которого они могут восстановить доступ.
Вы должны попытаться выяснить, как они взломали систему на первом месте, так что вы можете исправить это отверстие безопасности позднее при новой установке, а затем полностью стереть всю систему и установить с нуля. Поэтому лучше всего закрыть сервер и загрузить систему, из которой вы можете клонировать все хранилище. Позже вы можете изучить это изображение в защищенной и заблокированной среде (нет доступа к Интернету или вашим бизнес-сетям и т. Д.).
Вы также должны резервировать только столько данных, сколько необходимо, но как мало насколько возможно, потому что каждый файл, который вы копируете, потенциально может быть заражен. Сравнение ваших текущих файлов данных с данными из старых резервных копий (у вас есть периодические резервные копии, правильно !?) может помочь решить, что вам нужно и что в хорошей форме.
Связанные вопросы на других сайтах Stack Exchange:
Как я могу работать с уязвимым сервером? Как вы объясняете необходимость «nuke it from orbit» для управления и пользователей?grep -rnwl '/' -e "{name}"
, где {name} - это то, что вы хотите найти. r: рекурсивный w: соответствие целому слову l: показывать только имена файлов Это займет некоторое время, в зависимости от размера диска, чтобы вы могли начать поиск / home / вместо всего диска 1st. Но я сомневаюсь, что это будет файл в / home /
Загрузите сеанс в реальном времени. НЕ используйте эту систему. Также перед этим вы также можете проверить /etc/profile, /etc/crontab, crontab -l для странных действий и в ваш / home файл .bashrc для любого действия, которого не должно бытьПосмотрите, сможете ли вы узнать, что происходит, чтобы вы могли принять меры предосторожности, чтобы этого не произошло еще раз. Лучше всего переустановить. Черт возьми, это единственный разумный вариант. Поместите свои личные файлы на USB. Обратите внимание на установленное программное обеспечение, обратите внимание на журналы маршрутизатора и скопируйте все файлы журналов из / var / log, чтобы вы могли проверить вторжения, когда вы снова очистили систему.
Тщательно восстановите свои файлы (убедитесь, что они такие, какими они должны быть, и не выполняйте их, пока вы не уверены).
Другое дело do: создайте резервную копию файла sudo, очистите его и используйте inotify, чтобы немедленно скопировать файл резервной копии поверх измененного. Это будет мешать всему, что они пытаются сделать с вашей системой.
Извините, но «Единственный правильный путь», чтобы идти, - это уничтожить машину с орбиты.
Если хакеру удалось проникнуть глубоко в вашу систему, вы никогда не узнаете, уничтожили ли вы все следы или у них еще есть еще один туз в рукаве, с помощью которого они могут восстановить доступ.
Вы должны попытаться выяснить, как они взломали систему на первом месте, так что вы можете исправить это отверстие безопасности позднее при новой установке, а затем полностью стереть всю систему и установить с нуля. Поэтому лучше всего закрыть сервер и загрузить систему, из которой вы можете клонировать все хранилище. Позже вы можете изучить это изображение в защищенной и заблокированной среде (нет доступа к Интернету или вашим бизнес-сетям и т. Д.).
Вы также должны резервировать только столько данных, сколько необходимо, но как мало насколько возможно, потому что каждый файл, который вы копируете, потенциально может быть заражен. Сравнение ваших текущих файлов данных с данными из старых резервных копий (у вас есть периодические резервные копии, правильно !?) может помочь решить, что вам нужно и что в хорошей форме.
Связанные вопросы на других сайтах Stack Exchange:
Как я могу работать с уязвимым сервером? Как вы объясняете необходимость «nuke it from orbit» для управления и пользователей?grep -rnwl '/' -e "{name}"
, где {name} - это то, что вы хотите найти. r: рекурсивный w: соответствие целому слову l: показывать только имена файлов Это займет некоторое время, в зависимости от размера диска, чтобы вы могли начать поиск / home / вместо всего диска 1st. Но я сомневаюсь, что это будет файл в / home /
Загрузите сеанс в реальном времени. НЕ используйте эту систему. Также перед этим вы также можете проверить /etc/profile, /etc/crontab, crontab -l для странных действий и в ваш / home файл .bashrc для любого действия, которого не должно бытьПосмотрите, сможете ли вы узнать, что происходит, чтобы вы могли принять меры предосторожности, чтобы этого не произошло еще раз. Лучше всего переустановить. Черт возьми, это единственный разумный вариант. Поместите свои личные файлы на USB. Обратите внимание на установленное программное обеспечение, обратите внимание на журналы маршрутизатора и скопируйте все файлы журналов из / var / log, чтобы вы могли проверить вторжения, когда вы снова очистили систему.
Тщательно восстановите свои файлы (убедитесь, что они такие, какими они должны быть, и не выполняйте их, пока вы не уверены).
Другое дело do: создайте резервную копию файла sudo, очистите его и используйте inotify, чтобы немедленно скопировать файл резервной копии поверх измененного. Это будет мешать всему, что они пытаются сделать с вашей системой.