我的Centos服务器现在有很高的CPU负载。 请看下面的Htop输出。 sync_supers是非常怀疑,但我不知道如何杀死它。 有什么build议么?
了解了我的VPS硬化,我安装了ClamAV和MalDet几个月。 今晚,我决定,而不是只是在家里检查,我会检查除“/ sys”以外的整个VPS。 结果是: /usr/local/maldetect.bk11949/sigs/rfxn.ndb: YARA.Safe0ver_Shell__Safe_Mod_Bypass_By_Evilc0der_php.UNOFFICIAL FOUND /usr/local/maldetect.bk11949/sigs/hex.dat: YARA.Safe0ver_Shell__Safe_Mod_Bypass_By_Evilc0der_php.UNOFFICIAL FOUND /usr/local/maldetect.bk11949/sigs/rfxn.hdb: YARA.Safe0ver_Shell__Safe_Mod_Bypass_By_Evilc0der_php.UNOFFICIAL FOUND /usr/local/maldetect.bk11949/sigs/md5.dat: YARA.Safe0ver_Shell__Safe_Mod_Bypass_By_Evilc0der_php.UNOFFICIAL FOUND /usr/local/maldetect.bk11949/sigs/rfxn.yara: {HEX}gzbase64.inject.unclassed.15.UNOFFICIAL FOUND /usr/local/maldetect.bk11949/sigs/md5v2.dat: YARA.Safe0ver_Shell__Safe_Mod_Bypass_By_Evilc0der_php.UNOFFICIAL FOUND /usr/local/maldetect.bk11949/tmp/.lmdup.666.11852/maldetect-current.tar.gz: YARA.Safe0ver_Shell__Safe_Mod_Bypass_By_Evilc0der_php.UNOFFICIAL FOUND /usr/local/maldetect.bk11949/tmp/.lmdup.666.11852/maldetect-1.6/files/sigs/rfxn.ndb: YARA.Safe0ver_Shell__Safe_Mod_Bypass_By_Evilc0der_php.UNOFFICIAL FOUND /usr/local/maldetect.bk11949/tmp/.lmdup.666.11852/maldetect-1.6/files/sigs/hex.dat: YARA.Safe0ver_Shell__Safe_Mod_Bypass_By_Evilc0der_php.UNOFFICIAL FOUND /usr/local/maldetect.bk11949/tmp/.lmdup.666.11852/maldetect-1.6/files/sigs/rfxn.hdb: YARA.Safe0ver_Shell__Safe_Mod_Bypass_By_Evilc0der_php.UNOFFICIAL FOUND /usr/local/maldetect.bk11949/tmp/.lmdup.666.11852/maldetect-1.6/files/sigs/md5.dat: YARA.Safe0ver_Shell__Safe_Mod_Bypass_By_Evilc0der_php.UNOFFICIAL FOUND /usr/local/maldetect.bk11949/tmp/.lmdup.666.11852/maldetect-1.6/files/sigs/rfxn.yara: {HEX}gzbase64.inject.unclassed.15.UNOFFICIAL FOUND /usr/local/maldetect.bk11949/tmp/.lmdup.666.11852/maldetect-1.6/files/sigs/md5v2.dat: YARA.Safe0ver_Shell__Safe_Mod_Bypass_By_Evilc0der_php.UNOFFICIAL FOUND /usr/local/maldetect.bk11949/tmp/.lmdup.666.11852/maldetect-1.6/files/clean/gzbase64.inject.unclassed: {HEX}gzbase64.inject.unclassed.15.UNOFFICIAL FOUND /usr/local/maldetect.bk11949/clean/gzbase64.inject.unclassed: {HEX}gzbase64.inject.unclassed.15.UNOFFICIAL FOUND /usr/local/maldetect.bk11949/sigs.old/rfxn.ndb: YARA.Safe0ver_Shell__Safe_Mod_Bypass_By_Evilc0der_php.UNOFFICIAL FOUND /usr/local/maldetect.bk11949/sigs.old/hex.dat: YARA.Safe0ver_Shell__Safe_Mod_Bypass_By_Evilc0der_php.UNOFFICIAL FOUND […]
在客户端(包括多台Windows机器的局域网,以及我们的服务器)工作时,我注意到有些东西是通过TCP在端口23上定期尝试连接到我们的服务器的。 没有人知道telnet是什么东西,更不用说怎么运行了,所以我可以排除一个试图故意telnet的人。再加上它看起来是在24小时内定期发生的。 所以问题是,这些尝试是否有任何已知的/正当的理由发生? (例如,Windows做某种networking扫描或什么)? 或者这可能是LAN上存在某种恶意软件的迹象?
Something(Someone)正在发送从我们的整个IP范围发送的UDP数据包。 这似乎是多播DNS。 我们的服务器主机提供了这个(我们的IP地址被屏蔽了XX): Jun 3 11:02:13 webserver kernel: Firewall: *UDP_IN Blocked* IN=eth0 OUT= MAC=01:00:5e:00:00:fb:00:30:48:94:46:c4:08:00 SRC=193.23X.21X.XX DST=224.0.0.251 LEN=73 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=53 Jun 3 11:02:23 webserver kernel: Firewall: *UDP_IN Blocked* IN=eth0 OUT= MAC=01:00:5e:00:00:fb:00:30:48:94:46:c4:08:00 SRC=193.23X.21X.XX DST=224.0.0.251 LEN=73 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=53 Jun 3 11:02:32 webserver kernel: Firewall: […]
我们的一个用户正在经常遇到病毒问题。 它发生在两个不同的机器上的这个用户,在每种情况下感染相同的程序与相同的病毒。 恶意软件字节检测到恶意软件,昨天我清理了系统。 请注意,MSE找不到任何东西。 恶意软件字节实时扫描程序也在运行,但我今天再次检查,系统被重新感染。 这是一个Win 7 Pro SP1系统,它具有最新的更新,它运行Windows防火墙(以及企业防火墙后面),系统上的MSE和MBAM,仍然会被重新感染! 我已经扫描用户的networking驱动器,以防他们从那里拿起它,但到目前为止没有发现。 我怎样才能到这个反复出现的病毒问题的底部,并阻止系统一劳永逸的感染?
我们一直在SBS 2008服务器上遇到与SYSVOL的损坏文件相关的Backup Exec问题。 反病毒扫描作为特洛伊从脚本文件夹中删除了一个文件(同一个BE失败)。 以下文件仍在脚本文件夹中,而我在其他任何一台SBS 2008服务器上的相同位置都没有看到类似的东西,所以我试图将它们删除为与木马有关。 你会build议删除它们还是把它们留下? 如果有帮助,我可以发布他们的内容。
我很抱歉,如果这应该在SuperUser而不是ServerFault。 请问我转移问题,而不是燃烧。 我有两个Windows桌面在一个月的时间内在networking上下来,一个Windows 7和另一个Windows 8在6台机器的networking中与PDC和Azure中的另一个DC,以及一些虚拟Azurenetworking上的其他一些机器。 该机器是2岁的华硕I7 4核心8处理器与32位演出的内存和SSD主磁盘。 这些机器正在一个开发车间运行,所以每个人都安装了一切。 2台机器运行本地sql服务器(还有一个mysql和postgress)。 第一个下来,我们责备ssd磁盘的崩溃。 但是,事故的某些方面使得我的脑海中有一些警告灯熄灭,但却被淹没了(开发商并试图对networking有所意识)没有采取任何行动。 好吧然后我的机器有相当完整的主系统磁盘(SSD),决定运行磁盘清理实用程序来清理系统文件。 我注意到我在系统文件中有192个演出,没有想到它,然后运行它。 几个小时后,我开始从机器得到奇怪的共鸣,并启动任务pipe理器…文件未find错误! 直接进入system32,并看到,没有文件,但那些被左边的文件系统locking的文件。 试图下载病毒扫描程序,但无法安装,因为UAW EXE走了。 pipe理得到一个恶意软件扫描仪(不需要安装),这并没有给我任何好的理由。 我去了另一个Windows 7的机器,并设法将所有的system32文件复制到我的文件系统。 我的意图是做一个保存重新启动,并手动将文件复制到system32,并希望得到它运行(有一个截止date盯着我),但当然这并没有工作,引导部门已经没有了。 阴影复制文件夹去了,还原点也去了。 所以我不得不安装它。 该磁盘不报告任何错误。 我扫描了networking并在PDC(rootkit)上发现了一个隐藏的服务。 但是我知道没有病毒会造成这种损害。 所以最后的问题是。 SSD磁盘上的磁盘崩溃是否会像这样? 如果不是什么样的病毒可以做这种损害。 编辑 我知道networking已经妥协,需要重新安装。 但问题是,客户端因为病毒而closures,或者这可能是SSD磁盘崩溃或Windows更新失败(这是公司所有者的答案,他只是想删除rootkit,然后继续)。
可能重复: 安全资源 在我不断寻求知识的过程中,我感到需要更新当前的安全趋势,以及恶意软件等。 我希望能够说,“我听说过这个问题,修复是……”,而“哦,是的,是的,我已经把我的networking吃掉了一半,然后才把它放进去……”哪些网站和出版物能够跟上这些事情?
今天早上,我在服务器上托pipe的一些网站开始触发恶意软件警报,并开始将stream量redirect到外部网站。 我发现一行封装的javascript被添加到服务器上的许多js文件中。 这个脚本的function非常简单,但是我想知道的是这个恶意软件是否知名,以及它是如何感染服务器并传播的。 对于这个好奇的Javascript线路来说, http://pastebin.com/S0iAmRMx 注意:由于粘贴的JavaScript,一些反病毒解决scheme将此链接视为威胁
今天早上我们进了办公室(30多个networking系统),发现我们的电子邮件服务器在CBL上被列入黑名单: 此IP地址受感染,或正在感染被ZeroAccess僵尸networking感染的机器(也称为Sirefef)。 更多信息可以从维基百科find。 它最常用于比特币挖掘或点击欺诈,但由于它包含一个下载器部分,它可以做任何事情。 另一位开发者和我倾向于相信像Spamhaus这样的组织说,并相信我们在某个地方有病毒。 我们的networkingpipe理员更倾向于成为我们的networking服务器(AWS),通过我们的内部电子邮件服务器向客户发送收据。 邮件服务器作为中继,但只允许内部或从我们的networking服务器的IP连接。 像CBL这样的名单有什么样的误报率,是一种感染警报,可以通过某种非常通用的收据来收集?