lsof , как средство борьбы с вирусами на удаленных серверах

Posted in Новости on 17 сентября, 2010 by admin

для начала убиваем все процессы кроме sshd

Далее по netstat -plnt ( либо через ps aux ) смотрим, какие процессы появились заново и смотрим на открытые соединения :

lsof -i :port_of_process

далее через lsof смотрим открытые файлы процессами и отсеиваем ненужные :

lsof | egrep -v lsof | egrep -v egrep | egrep -v sshd | egrep -v hald | egrep -v crond | egrep -v avahi

и вуаля , перед нами полная картина по обращению к вредоносным файлам.

в моем случае был процесс httpd -DSSL c родителем — psy ботом , который и был вычищен.

после удаления зараженных файлов нужно в срочно порядке обновить систему ( ядро и все пакеты), обновить CMS и пересмотреть политики расставленных прав.

Естественно до начала заражения нужно вычистить все темповые папки ( например — /tmp , /var/tmp ) так как изначально в 99% случаев именно в них хранятся первичные вирусы, причем просмотра папок через ls недостаточно, так как изобретательные киддисы создают папки вида — «….» и при просмотре через ls или удалении через «rm -rf * » в папке они не удалятся, так как считаются скрытыми.

Tags: , ,

Leave A Comment »