Ubuntuサーバーをハッキング、おそらくハッキングされたコマンド(netstat、psなど)、それらを置き換える方法?
私の会社のUbuntuサーバーは、DoS攻撃を実行するためにハッキングされています。 Shellshockバグ が同僚によって修正されていなかったことがわかりました。これが問題だと思います。次に、数千のメッセージを送信する [〜#〜] elf [〜#〜] ファイルを見つけました。スクリプトは何かによって自動生成されます。削除しようとしても、新しい名前(/boot、/etc/init.d内)を使用して、それ自体が新しく作成されます。さらに、netstatコマンドでは、実際に開いているすべてのポートが表示されません。コマンドは置き換えられたのでしょうか?どうすれば再インストールできますか?
あなたは「軌道からそれを核にする」べきです:クリーンなソースメディアからOSとアプリケーションをワイプして再インストールし、それから注意深くバックアップからデータを復元します。
それは常に努力対結果の問題です。攻撃者がシステムを完全に制御できるようになった場合、何千ものものが置き換えられたりトロイの木馬化されたりする可能性があります。それらを1つずつ追い詰めるのはvery時間のかかる作業です。
攻撃者があまり洗練されていない場合は、最近変更されたファイルを検索することから始めます。 1つの開始点は、/ usr/binおよび/ sbin(ほとんどのコマンドがある場所)で最後に変更されたシステム上のファイルを探すことです。
ls -ltr /usr/bin
過去10日間に変更されたファイルを見て、/ etcで何が起こっているかを確認します。
find /etc -mtime -10
これらはreally基本的な最初のステップであり、現在実行中の(および非表示になっている可能性がある)プロセスの確認はカバーしていません。システムに対する最近の変更を非表示にすることがあります。だから、これが猫とネズミのゲームになり、1か所のエントリポイントを逃した場合、数週間続く可能性があります。
残念ながら、再インストールが最善のオプションです。時間はかからず、結果はほぼ保証されています。