Вы не решили проблему.
Вам необходимо отключить систему, выяснить, как проникло вредоносное ПО, и переустановить чистую копию с нуля.
Для получения дополнительной информации см. Что делать со скомпрометированным сервером? .
Это действительно похоже на довольно простую вредоносную программу. Он находится в каталогах с неопределенно правдоподобными названиями :
.
ftpuser
— это пользователь, который предположительно может существовать на некоторых серверах, структура которых застряла десять или два года назад. (Аутентифицированный FTP уже давно должен был быть заменен SSH, включая SFTP. Анонимный FTP был в значительной степени заменен HTTP (s ).).nullcache
скрыто в некоторых списках . «Nullcache» используется в разных контекстах; хотя я не знаю об инструменте, использующем каталог .nullcache
, он достаточно правдоподобен, чтобы не выглядеть совершенно неуместным в списке каталогов. aptitude
— это инструмент системного администрирования, который не был бы неуместен в списке процессов (для дистрибутивов, которые его используют, т. е. Debian и его производные ). sync
— это стандартная утилита, но она обычно не работает долго, поэтому, хотя она неуместна в листинге процессов, она выглядит безобидно. upd
не является стандартным именем,но это выглядит безобидно, потому что похоже, что это сокращение от «обновление». anacron
и cron
являются общими инструментами, и во многих системах есть каталоги с таким именем (в/var/spool
). init0
близко к init
. run
существует в разных местах (/run
,/var/run
). stop
редко используется в качестве имени каталога, но опять же не совсем неуместно. /tmp/.X17-unix
совершенно неправдоподобно, но визуально похоже на /tmp/.X11-unix
, который существует во всех системах, работающих под управлением X Window System (X11 ), на которой основана стандартная Unix, и многие люди не знают что число 11 является значимым. Задания cron запускают различные двоичные файлы в этих смутно правдоподобных местах во время загрузки (@reboot
), раз в неделю(5 8 * * 0
)или примерно каждые три дня(0 0 */3 * *
).
Just turn off formatting of the mentioned partitions and add a Root one?
Вот и все, да. Хотя есть некоторые оговорки:
Убедитесь, что ни один из дистрибутивов не оставил раздел подкачки в беспорядке, чтобы другой его не нашел. Не уверен насчет значений по умолчанию, но раздел подкачки можно настроить как место хранения данных гибернации. Хотя в худшем случае, вероятно, просто не удастся смонтировать раздел подкачки.
Совместное использование /home
может привести к путанице, если вы используете разные версии одного и того же программного обеспечения в разных дистрибутивах. Некоторые вещи также могут запутаться, если системные значения по умолчанию на уровне -отличаются и либо переопределяются, либо не переопределяются локальными конфигурациями в $HOME
. Лично , предполагая, что у меня есть место на диске, я бы создал новый домашний раздел, смонтировал старый куда-нибудь вроде /old_home
или /other_home
и скопировал/ссылал по мере необходимости, по крайней мере, на какое-то время. Вы всегда сможете переключить точки монтирования позже (редактирование fstab
не сложно ).
И, конечно, insert obligatory reminder to keep backups here
.