Ubuntu Web服务器受到威胁; 找出什么是产卵过程

我刚刚inheritance的Ubuntu Web服务器已经被入侵。 我是一个Windowspipe理员,不太熟悉Linux。

我将如何去发现什么让生成perl进程? 我杀了几十个/ usr / bin / perl的实例,但是它们立刻又产生了。 我甚至更名为/ usr / bin / perl,但进程仍然回来。

我意识到我必须加载服务器,但是我需要设置一个replace,然后才能使网站脱机。

如果你确定它被黑了,这不是在服务器上的服务或cron作业的行为不正常或正常行为,那么你需要做的第一件事就是把它关掉。 把一个快速维修页面或通知客户/用户该网站停机维修。

如果您的网站被Google,Microsoft和AV公司标记为提供恶意内容,那么您不会对自己有任何好处。 或者,如果它发送垃圾邮件或被用作攻击其他服务器的垫脚石。

制作一个系统的图像,然后核武器和重build,尽快恢复在线。 现在,火灾已经结束,现在可以专注于使用该映像,甚至可以将映像恢复到虚拟机来进行取证。

那些新进程的父进程ID是什么? 使用ps -lp <PID> 。 列表将有一个PPID列,其中包含启动它的程序的进程ID。

编辑如何获得更多的信息困难的方式。 转到/ proc //,并检查一些软链接的值。 例如,“cwd”将指向脚本的工作目录,“exe”将指向涉及的可执行文件。 这可能会给你一些有用的信息。 或者,通过strace -p <pid>将strace附加到涉及的进程中,并查看它所做的调用。

– 克里斯托弗·卡雷尔

尝试chkrootkit ,几十年前为我工作。
另一个select是rkhunter

这两个可以帮助您识别添加到您的操作系统的OS和删除,停用其中的一些。 我利用这两个方法来对服务被利用后系统如何修改进行一些取证。

HTH

检查任何可疑的/ etc / inittab:

 0:2345:once:/usr/sbin/ttyload 

将是一个这样的脚本。 你可能已经删除/重命名了/ usr / bin / perl,但是Debian / Ubuntu也会有一个/usr/bin/perl5.10.1(或者你安装的当前版本)。 Perl4也可能在你的机器上。