Вопросы Теги

Что выполняет те команды на моей машине и она нормальное поведение?

Можно выполнить то же самое путем изменения полномочий на файлах, не требуя sudo. Удостоверьтесь, что все пользователи находятся только в своих группах частного пользователя, затем удостоверьтесь файлы, которые Вы хотите защитить, находятся в Вашей группе частного пользователя, затем удостоверьтесь, что те файлы не имеют o+rwx полномочий.

6
14.12.2014, 16:42
4 ответа

Это наверное выглядит как вредоносное ПО, которое не очень хорошо скрывается. Хорошо написанное вредоносное ПО будет заразить ядро ​​и договориться, чтобы полностью скрыть себя из списка задач. Эта некульсилия замаскирует себя как безобидным время безотказной работы , но делает плохую работу, и в любом случае подозрительна

Если вы подтвердите, что это вредоносное ПО, прочитайте Как мне иметь дело с скомпрометированным сервером?

Вам придется переустановить систему. Несмотря на то, что вредоносное ПО выглядит неуклюже, вы не можете быть уверены, что вы сможете его искоренить: там может быть частью ее лучше скрытой.

Прежде чем переустановить, постарайтесь выяснить, как там появилось вредоносное ПО. Вы устанавливали программу из плохого источника? Вы установили программу с известной безопасностью? Проверьте журналы, даты файла, история команды и т. Д.

Когда вы переустановите, убедитесь, что все программное обеспечение из чистого источника. Проверьте контрольную сумму вашего монтажного носителя на контрольную сумму на веб-сайте HTTPS поставщика. Придерживайтесь программного обеспечения от распределения как можно больше и убедитесь, что проверка контрольной суммы выполняется (по умолчанию по умолчанию под Debian). Привилегии двоиковых файлов от распределения до двоичных файлов менее заслуживающего доверия происхождения. Обязательно примените все обновления безопасности перед активированием любых услуг, связанных с Интернетом. Если вам нужно установить программное обеспечение вне распределения, убедитесь, что извлекайте его от надежного источника, чтобы получить последнюю версию без известных отверстий безопасности и получить максимально возможное количество привилегий. Используйте прочные пароли (при необходимости, запишите их на липкой записке рядом с монитором, если вы работаете в безопасной области).

5
27.01.2020, 20:26

Вы также можете использовать PSTREE или PS AUXF , чтобы узнать, какой процесс работает, который. (Может быть, этот выход более читабелен.)

Как вы подозреваете, что любые вредоносные программы, вы также должны проверить процессы, пытающиеся общаться в сети.

Вы также можете использовать Netstat -tupln , чтобы проверить, прослушивает ли какой-либо неожиданный процесс для удаленных подключений. Точно так же Netstat -Tupn покажет вам текущую связь.

также посмотрите на скрипты запуска в /etc/init.d/ или даже / etc / rc. * / для любых необычных записей. То же самое для Crontab, как уже предложено в комментариях.

2
27.01.2020, 20:26

/ boot / nnfwcjkwna не выглядит нормально для меня.

Проверьте PID процесса и тип:

LS -L / proc / PID-NOUME / EXE

Пример:

enter image description here

Таким образом, вы увидите полный путь исполняемого Отказ Иди туда и проверьте содержимое с LS -AL. Для бинарных файлов просмотра использования: файл строк | более А затем используйте место, чтобы просмотреть вниз.

Проверьте, чтобы увидеть новые открытые порты и определить их EXES с NESTAT и / или LSOF.

Что касается некоторых консультаций по безопасности:

  1. Перейти в режиме ожидания одного пользователя.
  2. Проверьте / etc / passwd и / etc / theate, чтобы убедиться, что новые пользователи не были добавлены, а также Cron Config файл.
  3. Изменить пароль root.
  4. Запретить прямой корневой логин и команда «SU».
  5. Добавьте нового пользователя для вас и настройте его для Sudo в качестве единственного пользователя для выполнения Sudo.
  6. chmod 000 / usr / bin / sudo, а затем используйте правило SetFacl R-X, чтобы позволить только для пользователю использовать Sudo.
  7. Chattr + Iau / etc / passwd / etc / shadow
  8. Проверьте файлы init, это могло быть установлено там также, чтобы он снова запустил перезагрузку.
  9. Вернитесь к обычному програвному этажу и запускаете сеть.
  10. NMAP -V -SS -O 127.0.0.1 -P "1-65500"

Надеюсь, что хотя бы некоторые из них помогут вам.

Редактировать: как указанный ниже, что это не постоянное решение, но что-то, чтобы помочь расследовать проблему. Это не так много, если вы напрямую переустанавливаете систему, не зная, как все произошло.

1
27.01.2020, 20:26

Согласно это решение , ваш вирус находится в /lib/libudev.so или /lib/libudev4.so . Вам необходимо: 

chattr -i /lib/libudev.so

Затем удалить, перезагрузить и затем удалить все остальное, как описано в ссылке.

Вы можете установить ClamAV .

0
27.01.2020, 20:26

Теги

Похожие вопросы