Ügyfél által szerzett vírus a szervergépre hogyan távolítható el?
Több infó: malware szerver ip: 51.255.66.195 erre az ipre küldi a szervergép az adatokat.
Ha kill-elem a processz-t újra indul más parancsot próbálgat. (htopban írja) pl cd / etc
Aztán pl su -val szarakodik, aztán pwd-vel stb.
Néha 100%-on terhelteti a processzort. Van amikor csak 30-40%-on. (összes magot)
válasza:
válasza: válasza: válasza: válasza:root-ként fut... Igen, aki van olyan hülye, hogy root-ként indítja a dolgokat, mert akkor az is root-ot kap...
Mellesleg: VMware-t feldobsz majd az újonnan telepített rendszerre, és ha az fertőződik meg, akkor onnan ki nem szabadul a rendes rendszerbe. Szóval hajrá.
sajnos nem találja egyik sem a vírust :(
Egyébként Init [2] a szülő alkalmazás. 1-es pid-el és nem lehet kilőni..:/
valami ilyesmi vírusom van: "The persistence of the Trojan is achieved in multiple ways. First, it is installed into the /boot/ directory with a random 10-character string. Then a script with the identical name as the Trojan is created in the /etc/init.d directory. It is together with five symbolic links pointing to the script created in /etc/rc%u.d/S90%s, where %u runs from 1 to 5 and %s is substitute with the random. Moreover, a script /etc/cron.hourly/cron.sh is added with the content:"
link ott.
Megtaláltam ez az: "#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done
cp /lib/libudev.so /lib/libudev.so.6
/lib/libudev.so.6
"
Ez van nekem a cron.hourly mappában és ez fut le 3 percenként. ha törlöm meg crontab-ból is és resizem akkor újra létrehozódik.
Kapcsolódó kérdések:
Minden jog fenntartva © 2024, www.gyakorikerdesek.hu
GYIK | Szabályzat | Jogi nyilatkozat | Adatvédelem | Cookie beállítások | WebMinute Kft. | Facebook | Kapcsolat: info(kukac)gyakorikerdesek.hu
Ha kifogással szeretne élni valamely tartalommal kapcsolatban, kérjük jelezze e-mailes elérhetőségünkön!