可能重复:
我如何处理受损的服务器?
我做了一个扫描我的整个VPSfind上面的文件夹与大量的病毒。 我可以放心删除这个文件夹吗? 我可以通过SSH或有办法,我需要通过命令行来完成吗?
具体结果:
/tmp/.xzibit/new64: UNIX.Exploit.CVE_2010_3301-2 FOUND /tmp/.xzibit/c/robert_you_suck.c: UNIX.Exploit.CVE_2010_3301-1 FOUND /tmp/.xzibit/ab: UNIX.Exploit.CVE_2010_3301-1 FOUND /tmp/.xzibit/3/ptrace: Linux.RST.B-1 FOUND /tmp/.xzibit/3/ptrace24: Linux.Rst.A FOUND /tmp/.xzibit/3/elf: Exploit.Linux.Race.C FOUND /tmp/.xzibit/3/brk: Linux.Brk.B FOUND /tmp/.xzibit/3/90: Linux.Osf.3974 FOUND /tmp/.xzibit/3/ex: Linux.RST.B-1 FOUND /tmp/.xzibit/3/x: Linux.RST.B-1 FOUND /tmp/.xzibit/3/ee: Linux.RST.B-1 FOUND /tmp/.xzibit/3/nc: Linux.Rst.A FOUND /tmp/.xzibit/3/e2: Linux.RST.B-1 FOUND /tmp/.xzibit/3/uselib24: Exploit.Linux.Race.C FOUND /tmp/.xzibit/1/32/therebel/exploit.c: Exploit.Linux-2 FOUND /tmp/.xzibit/01: UNIX.Exploit.CVE_2010_3301-2 FOUND Addl的信息:我注意到这个网站在过去的妥协,扫描和清理。 这是我第一次决定扫描一切,而不仅仅是网页目录。 这是唯一出现的东西,这会让我相信这是我之前遗漏的遗留垃圾,并且来自其中一个站点(因为它仍然只是卡在tmp目录中)。 这是准确的假设?
注意:您的系统可能会受到影响,因此应立即向您的Linux系统安全专业人员咨询。
这看起来像你的系统可能在某种程度上受到损害。
描述的文件夹呈现为Linux“点文件”。 “点文件”通常用于stored procedures的configuration数据,然而,正如您在结果中看到的那样,在该文件夹中已经find了几个C程序,这也不是一个好兆头。
您可以尝试Rootkit Hunter( http://rkhunter.sourceforge.net/ )来查看是否存在rootkit。
如果您的VPS位于共享服务器/托pipe服务上,则应该联系您的托pipe服务提供商。
如果它确实是病毒/ rootkit /后门程序,并且可以将其从系统中删除,那么如果您不确定系统的安全性,则可能还需要考虑更改密码。
您可能会删除这些文件,但如果这些文件成功地利用了您的系统,则可能无法解决问题。
关于/ tmp /,请使用以下内容作为决定是否删除文件的指导:
“这个目录主要包含临时需要的文件,许多程序使用它来创buildlocking文件和临时存储数据,除非你知道你在做什么,否则不要从这个目录中删除文件!运行程序并删除它们可能会导致系统崩溃,通常情况下它不会超过几KB,在大多数系统中,这个目录在启动时或者在本地系统closures时被清除,其基础是历史的先例和惯例,但由于系统pipe理不在FSSTND的范围之内,所以没有提出要求,因此人和程序不能假定/ tmp中的任何文件或目录在程序的调用之间被保留。这背后的理由是符合IEEE标准P1003.2(POSIX,第2部分)。“
资料来源: http : //www.tldp.org/LDP/Linux-Filesystem-Hierarchy/html/tmp.html
删除该目录中的所有文件/文件夹rm -rf /tmp/.xzibit
请记住,您的系统可能仍然以您没有检测工具的方式受到损害。
编辑:请参阅迈克尔·汉普顿的评论回应您的问题的build议进一步的行动。