Pad*_*ton 2 ubuntu malware clamav apache-2.2
我在 Ubuntu 8.04 LTS 上运行 Plesk 9.5 并且有大约 15 个网站感染了一些附加到 java 文件末尾的恶意代码。我已经安装的ClamAV,它已成功地拾取装置具有既起的格局被感染的文件/*km0ae9gr6m*/或/*gootkitstart*/与结尾/*qhk6sa6g1c*/或/*gootkitend*/
我的 Plesk 面板是最新的并且安装了安全补丁。如何隔离服务器上的安全漏洞?
Bar*_*rim 11
首先,如果有一个rootkit,你可能是在打一场永无休止的战斗。使服务器脱机并重新安装和恢复感染前的备份。这是修复的“最佳”方法。
其次,您在感染之前是否及时了解补丁等内容,还是在感染之后进行了补丁?
第三,在 Plesk 之外的服务器上运行哪些自定义代码?你怎么知道那是传染媒介?
如果没有审计和沙盒,你将很难说出发生了什么。如果有一个数据库在上面运行,那么系统上可能有人有错误的代码。如果其他人可以访问服务器,那么他们可能做了一些感染它的事情。网站是否以不同的文件权限运行以防止可能的损坏?或者这些网站几乎共享所有资源?其他用户是否参与并能够运行脚本?他们是否安装了不同的小部件和诸如此类的东西?文件是否带有时间戳,因此您可以返回日志以尝试收集发生了什么?
如果日志位于被入侵的同一台服务器上,则日志也可能已被更改。
最后,最好的办法是使服务器脱机并通过从备份重新安装来修复它。否则你不能完全信任它。如果您有任何“个人”数据(用户密码?),他们需要被告知他们的信息可能已被盗。然后开始在系统上设置某种审计,并通过安全的通信通道将日志文件发送到辅助服务器,这样日志就不会被入侵者删除。并在另一台服务器上运行某种文件检查实用程序,如 Stealth,以监控您的文件完整性并警告您发生更改。
在不知道您的服务器还运行什么的情况下,其他人几乎无法告诉您它是如何被入侵的。
| 归档时间: |
|
| 查看次数: |
1849 次 |
| 最近记录: |