Ubuntuが感染しているかどうかをスキャンする方法? サーバー攻撃

Question 1

まず、次のことから始めてください。

クラマフ
補佐官- これはマルウェアスキャナーではなく整合性ツールなので、たとえば昨日からどのファイルが変更されているかを確認できます。
開いているポートを確認します:
```
sudo netstat -lpntu | less
```

広く開いているものがある場合は、たとえば IP で制限します。

また、実行中のサービスをチェックして、疑わしいものがないことを確認してください。
```
pstree | less

ps axu | less
```
cronタスクを確認する

Answer

まず、次のことから始めてください。

クラマフ
補佐官- これはマルウェアスキャナーではなく整合性ツールなので、たとえば昨日からどのファイルが変更されているかを確認できます。
開いているポートを確認します:
```
sudo netstat -lpntu | less
```

広く開いているものがある場合は、たとえば IP で制限します。

また、実行中のサービスをチェックして、疑わしいものがないことを確認してください。
```
pstree | less

ps axu | less
```
cronタスクを確認する

Question 2

Ubuntu から ClamAV を使用するには、ここの手順を参照してください。https://help.ubuntu.com/community/ClamAV

Ubuntu にマルウェアが存在するというのは非常に奇妙なことですが、既知のウイルスがインストールされていれば、それが検出されるはずです。ただし、静的 IP アドレスを使用しておらず、動的に割り当てられた IP アドレスは割り当てられる前にブロックされているのではないかと思います。問題が発生するときと発生しないときを比較するために、WAN IP アドレスをチェックして記録する必要があります。

Answer

Ubuntu から ClamAV を使用するには、ここの手順を参照してください。https://help.ubuntu.com/community/ClamAV

Ubuntu にマルウェアが存在するというのは非常に奇妙なことですが、既知のウイルスがインストールされていれば、それが検出されるはずです。ただし、静的 IP アドレスを使用しておらず、動的に割り当てられた IP アドレスは割り当てられる前にブロックされているのではないかと思います。問題が発生するときと発生しないときを比較するために、WAN IP アドレスをチェックして記録する必要があります。

Question 3

上記のアドバイスも良さそうです。
これを追加する>>謎のプログラムがネットホッグリストされているものはマルウェアですか? 謎のプログラムがネットホッグマルウェアをリストしますか?

netstatを使用してnethogs情報を確認し、呼び出し元のプログラムの名前を確認します。

# netstat -tapec

アクティブなインターネット接続（サーバーと確立済み）

Proto、Recv-Q、Send-Q、ローカルアドレス、外部アドレス、状態、ユーザー Inode、PID/プログラム名

root@-:~ tcp 0 0 192.168.0.55:46092 stackoverflow.com:https 確立済み 2360457 3618/firefox

tcp 0 0 192.168.0.55:60884 ec2-35-160-7-16.u:https 確立 35667 3618/firefox

Answer