可能重复:
我的服务器被黑了应急
ZeuS后端控制器滥用
我们已经通过我们的托pipe公司警告过我们服务器上有一个僵尸networking控制器(zeus)。 但是我们不知道它是如何安装的以及如何检测和删除它。
过去我们没有安装任何东西,也不知道控制器的位置。
这是一个专用的服务器。
我们如何检测? 像CLAM AV这样的杀毒软件可以帮助find它?
@格伦的回答是一个好的开始,但一个好的僵尸networking安装程序将使用一个rootkit,大多数系统实用程序后门(所以他们不会在取证时显示)。 一个非常好的,甚至会去修改源代码或库的麻烦,所以即使编译的二进制文件现在将被蒙蔽。 唯一真正的方法是让您的托pipe服务提供商向您显示stream量日志,指出您已经入侵并确认通过lsof或netstat连接到该端口的内容。 如果它不显示任何东西,仍然不意味着你没有妥协。
lsof和netstat可以用来追捕机器人和保镖。 'lsof -i | grep -i irc'帮助我在过去find了这些,但是我怀疑这会抓住一切。 如果你用netstat / lsof看到一些奇怪的东西,你可以用'ls -lah / proc / $ pid /'来进一步调查pid。