도움이 필요합니다. 서버 제공업체에서 제 서버가 200mbit/s 대역폭을 사용하고 있다고 연락했습니다. 조사 결과 사용자에 대한 프로세스가 없어야 한다는 것을 발견했습니다. 다음과 같은 프로세스를 발견했습니다.
26269 511 Nov27 ./stealth 58.22.68.253 53
775 511 Oct12 ./eggdrop -m botnick.conf
저는 eggdrop이 IRC라는 것을 알고 있습니다. 제 질문은 이러한 프로세스에 대해 소프트웨어가 설치된 위치를 어디에서 찾을 수 있습니까?
답변1
당신은 타협했습니다. 물론 프로세스를 종료할 수도 있습니다.
/sbin/lsof | grep eggdrop및 를 실행하여 시작합니다 /sbin/lsof | grep stealth.
해당 출력에서 실행 파일의 전체 경로를 볼 수 있어야 합니다. 이는 봇이 설치된 디렉토리를 결정하는 시작점을 제공합니다.
해당 지점에서 프로세스를 종료하고 표준 루트킷 탐지 프로그램(rkhunter 또는chkrootkit).
백업이 있다면 그곳으로 가는 것이 좋습니다. 하지만 그렇지 않은 경우 어떻게 손상되었는지 확인하고 악성 애플리케이션(rc 스크립트, crontab 등)을 다시 트리거하는 것이 없는지 확인해야 합니다.
손상된 시스템을 다루는 다음 게시물을 살펴보세요.