我需要一些幫助,我的伺服器供應商聯繫我,告訴我我的伺服器正在使用 200mbit/s 頻寬。經過調查,我發現不應該存在的使用者流程。
26269 511 Nov27 ./stealth 58.22.68.253 53
775 511 Oct12 ./eggdrop -m botnick.conf
我知道eggdrop是IRC,我的問題是,我可以在哪裡找到這些進程的軟體安裝位置?
答案1
你已經被妥協了。當然,您可以終止這些進程。
/sbin/lsof | grep eggdrop從運行和開始/sbin/lsof | grep stealth。
您應該能夠從該輸出中看到可執行檔的完整路徑。這將為您提供確定機器人安裝目錄的起點。
從該點終止進程並繼續執行標準 rootkit 檢測程序之一(rkhunter 或chkrootkit)。
如果您有備份,那麼這是一個好地方。但如果沒有,您需要確定您是如何受到損害的,並確保沒有任何東西會重新觸發惡意應用程式(rc 腳本、crontab 等)
請查看以下針對受感染系統的貼文: