TL; DR我没有问如何照顾我的妥协服务器。 我问如何检测一个文件是exception/无关/非官方。 所以这不是在受损服务器上的问题的重复。 对于需要2分钟才能在标记为重复之前阅读这两个问题的人来说,这是显而易见的。
今天早上,我们收到了来自我们的一个debian服务器的exception大量输出stream量报告。 我试图以root身份启动netstat -tpe ,我发现这个 。 unama是一个未知的过程,我在网上search,我找不到任何参考。
我发起了一个whois 173.254.230.36的whois 173.254.230.36 ,我发现这个ip属于一个名叫meiyunla的中国组织。
然后我试着用which unama ,只是发现它是位于/bin/unama一个不可读的二进制文件。
有谁知道如何检测这个unama文件是官方软件包还是exception?
编辑
只是为了提供信息,最后是某种病毒,这使得我们的服务器成为僵尸networking的一部分。 删除文件是没有用的,因为在几分钟之后它再次出现,使用了60%到100%的CPU。
我们必须closures服务器并启动一个新的服务器,从头重新安装所有的软件。
只是一件事:永远不要使用公共IP上的SSH密码authentication:)
unama绝对不是来自官方软件包的“正常”文件,请参阅packages.debian.org 。
你通过运行dpkg -S /bin/unama检查它是否来自任何安装的非官方软件包。 这将显示它来自的已安装软件包的名称,或者如果此文件未与任何当前已安装的软件包关联,则不会显示任何内容。