 Вирус в CentOS,  Алескандр, 12-Май-16, 17:48 [смотреть все]Добрый день, помогите решить проблему.
Есть сервер на CentOs5 (почтовый+файловый сервер), при подключении сервера к интернету идёт огромный исходящий трафик на непонятные айпи, который забивает полностью 100мегабитный канал, в top появляется подозрительный процесс с рандомным названием, после того как его убьёшь, на короткий промежуток времени попускает, но спустя минуту создается новый процесс с другим рандомным названием и все по новой. Сканирую сервер на вирусы с помощью Clam, сменил пароли рутовых пользователей, пока без результатно, блочу айпишники файерволом, но бестолку, так как айпишники тоже меняются, пробовал блочить диапазоны портов, помогает, но почта не работает в таком случае.
Что и где еще можно посмотреть ?Спасибо заранее за ответы, просьба не пинать за мой опыт, в юниксах я не шарю.
|
- Вирус в CentOS, Алескандр, 17:50 , 12-Май-16 (1)
>[оверквотинг удален]
> канал, в top появляется подозрительный процесс с рандомным названием, после того
> как его убьёшь, на короткий промежуток времени попускает, но спустя минуту
> создается новый процесс с другим рандомным названием и все по новой.
> Сканирую сервер на вирусы с помощью Clam, сменил пароли рутовых пользователей,
> пока без результатно, блочу айпишники файерволом, но бестолку, так как айпишники
> тоже меняются, пробовал блочить диапазоны портов, помогает, но почта не работает
> в таком случае.
> Что и где еще можно посмотреть ?
> Спасибо заранее за ответы, просьба не пинать за мой опыт, в юниксах
> я не шарю.походу CLAM делает свое дело, понаходил вирусняков, трафик попустило! - Вирус в CentOS, Виктор, 23:14 , 12-Май-16 (2)
>[оверквотинг удален]
> канал, в top появляется подозрительный процесс с рандомным названием, после того
> как его убьёшь, на короткий промежуток времени попускает, но спустя минуту
> создается новый процесс с другим рандомным названием и все по новой.
> Сканирую сервер на вирусы с помощью Clam, сменил пароли рутовых пользователей,
> пока без результатно, блочу айпишники файерволом, но бестолку, так как айпишники
> тоже меняются, пробовал блочить диапазоны портов, помогает, но почта не работает
> в таком случае.
> Что и где еще можно посмотреть ?
> Спасибо заранее за ответы, просьба не пинать за мой опыт, в юниксах
> я не шарю.Обычно в таких случаях делается бэкап конфигов и нужных данных и система переустанавливается с нуля. Потому как, помимо вредного ПО (чаще для организаций DDoS- и DoS-атак), заменяется куча стандартного ПО сервера, на версии, содержащие бэкдоры.
yum verify запустите и посмотрите лог на предмет checksum mismatch у бинарников...
- Вирус в CentOS, Виктор, 23:17 , 12-Май-16 (3)
>[оверквотинг удален]
> канал, в top появляется подозрительный процесс с рандомным названием, после того
> как его убьёшь, на короткий промежуток времени попускает, но спустя минуту
> создается новый процесс с другим рандомным названием и все по новой.
> Сканирую сервер на вирусы с помощью Clam, сменил пароли рутовых пользователей,
> пока без результатно, блочу айпишники файерволом, но бестолку, так как айпишники
> тоже меняются, пробовал блочить диапазоны портов, помогает, но почта не работает
> в таком случае.
> Что и где еще можно посмотреть ?
> Спасибо заранее за ответы, просьба не пинать за мой опыт, в юниксах
> я не шарю.Еще забыл, необходимо определить место проникновения в вашу систему, какое именно ПО было уязвимо (в силу уязвимостей или неправильной конфигурации), т.к. при переустановке с нуля, есть шанс, что вы оставите дыру на месте.
|
Версия для распечатки
