Двойная загрузка двух дистрибутивов Linux и общий раздел /home?
Вы не решили проблему.
- То, что вы нашли, может быть только верхушкой айсберга. Есть много способов скрыть вредоносное ПО. То, что вы могли легко увидеть, вполне может быть предназначено для того, чтобы убаюкать вас ложным чувством безопасности.
- Даже если вам удалось найти все вредоносные программы, пока вы не нашли и не заткнули дыру, через которую они проникли, они, скорее всего, появятся снова.
- Если у вас есть данные других людей (, включая, помимо прочего, частную идентифицирующую информацию, такую как адреса электронной почты, IP-адреса, истории покупок, журналы использования и т. д. ), вам необходимо уведомить этих людей о взломе и дайте им знать, каким образом их данные могут быть скомпрометированы. Это не просто хорошая идея, это закон во многих странах.
Вам необходимо отключить систему, выяснить, как проникло вредоносное ПО, и переустановить чистую копию с нуля.
Для получения дополнительной информации см. Что делать со скомпрометированным сервером? .
Это действительно похоже на довольно простую вредоносную программу. Он находится в каталогах с неопределенно правдоподобными названиями :
.
ftpuser— это пользователь, который предположительно может существовать на некоторых серверах, структура которых застряла десять или два года назад. (Аутентифицированный FTP уже давно должен был быть заменен SSH, включая SFTP. Анонимный FTP был в значительной степени заменен HTTP (s ).).nullcacheскрыто в некоторых списках . «Nullcache» используется в разных контекстах; хотя я не знаю об инструменте, использующем каталог.nullcache, он достаточно правдоподобен, чтобы не выглядеть совершенно неуместным в списке каталогов.aptitude— это инструмент системного администрирования, который не был бы неуместен в списке процессов (для дистрибутивов, которые его используют, т. е. Debian и его производные ).sync— это стандартная утилита, но она обычно не работает долго, поэтому, хотя она неуместна в листинге процессов, она выглядит безобидно.updне является стандартным именем,но это выглядит безобидно, потому что похоже, что это сокращение от «обновление».anacronиcronявляются общими инструментами, и во многих системах есть каталоги с таким именем (в/var/spool).init0близко кinit.runсуществует в разных местах (/run,/var/run).stopредко используется в качестве имени каталога, но опять же не совсем неуместно./tmp/.X17-unixсовершенно неправдоподобно, но визуально похоже на/tmp/.X11-unix, который существует во всех системах, работающих под управлением X Window System (X11 ), на которой основана стандартная Unix, и многие люди не знают что число 11 является значимым.
Задания cron запускают различные двоичные файлы в этих смутно правдоподобных местах во время загрузки (@reboot), раз в неделю(5 8 * * 0)или примерно каждые три дня(0 0 */3 * *).
Just turn off formatting of the mentioned partitions and add a Root one?
Вот и все, да. Хотя есть некоторые оговорки:
Убедитесь, что ни один из дистрибутивов не оставил раздел подкачки в беспорядке, чтобы другой его не нашел. Не уверен насчет значений по умолчанию, но раздел подкачки можно настроить как место хранения данных гибернации. Хотя в худшем случае, вероятно, просто не удастся смонтировать раздел подкачки.
Совместное использование
/homeможет привести к путанице, если вы используете разные версии одного и того же программного обеспечения в разных дистрибутивах. Некоторые вещи также могут запутаться, если системные значения по умолчанию на уровне -отличаются и либо переопределяются, либо не переопределяются локальными конфигурациями в$HOME. Лично , предполагая, что у меня есть место на диске, я бы создал новый домашний раздел, смонтировал старый куда-нибудь вроде/old_homeили/other_homeи скопировал/ссылал по мере необходимости, по крайней мере, на какое-то время. Вы всегда сможете переключить точки монтирования позже (редактированиеfstabне сложно ).
И, конечно, insert obligatory reminder to keep backups here.