Infeksi Virus DDoS (sebagai layanan unix) pada Debian 8 VM Webserver

Kami mengalami infeksi serupa pada Suse, mungkin melalui ssh brute force login.

Langkah-langkah untuk membersihkan adalah:

1. Periksa file /etc/crontab . Anda mungkin memiliki entri untuk memanggil virus setiap 3 menit

   */3 * * * * root /etc/cron.hourly/cron.sh
   

   Hapus baris ini.

2. Identifikasi proses induk virus. rguoywvrf di ps -ej Anda . Proses lainnya dibuat dan dimatikan secara terus menerus.
3. Hentikan, jangan matikan, dengan kill -STOP 1632
4. Periksa dengan ps -ej lainnya bahwa hanya orang tua yang hidup, anak-anak harus mati dengan cepat
5. Sekarang Anda dapat menghapus file di /usr/bin dan /etc/init.d . Ada varian virus yang juga menggunakan /boot atau /bin . Gunakan ls -lt | head untuk mencari file yang telah dimodifikasi baru-baru ini.
6. Periksa skrip di /etc/cron.hourly/cron.sh . Di server kami, ia memanggil salinan virus lainnya di /lib/libgcc.so . Hapus kedua file.
7. Sekarang Anda pasti dapat mematikan rguoywvrf proses.

Untuk menjawab pertanyaan Anda:

1. Tanpa tindakan pencegahan yang diperlukan (syslog di luar situs, IDS, pemantauan log, dll.) Anda mungkin tidak akan pernah tahu apa yang terjadi.
2. Saya harus setuju dengan Matt. Anda akan menginvestasikan waktu untuk menjalankan mesin yang tidak akan pernah Anda percayai. Menurut pendapat saya, solusi terbaik adalah memindahkan data dari situs &mengulang mesin.

Tentu saja, untuk apa nilainya, ini hanya pendapat saya. Padahal, saat mengulang mesin, tentu saja Anda dapat mengambil tindakan pencegahan yang diperlukan &melindungi diri Anda dengan lebih baik di masa mendatang.