LINUX.ORG.RU

Что делать с вирусом?

 


0

3

Случилась большая проблема и прошу подсказать! Договорился сайт сделать за недельку, но затянулось, вроде сделал, потом долго проверяли, потом долго фиксил, в общем вроде доделал за почти полтора месяца и оплату предвкушаю. Но именно сейчас поддержка заблокировала сервер, сказав, что на нем вирус, все что о нем им известно:

847170 root 20 0 73784 1692 196 S 67.0 0.0 369:15.79 jsrxiwnlpw

И все. По просьбе разблокировали, в ps aux'e такого ничего не было, все нормально работало один день вчера, а сегодня опять то же самое: «у вас вирус, блокируем». Это моя вина, что сразу не создал пользователя и от рута все разворачивал, но откуда он падла мог взяться, откуда на linux'е вирусы, и если ещё раз сервер разблокируют - где-то какой-то запрет написать, чтобы процесс с именем jsrxiwnlpw никогда не запускался, или его можно в системе поискать и удалить, или переустановить и все заново от пользователя разворачивать, но нужно решить как можно скорее чтобы оплату наконец получить. Как бороться с вирусом, если кроме той строчки ничего не известно? Дистр centos 7

сервер сжечь, сайт развернуть из бэкапа на другом

zolden ★★★★★ ()

Розовые кони должны страдать

anonymous ()

надо было использовать убунту на чем сайт то?

anonymous ()

1) найди файл jsrxiwnlpw и удали!

2) Обнови движок сайта

3) Поменяй пароль на болей сложный

4) Если движок на PHP, то сделай поиск по его скриптам по строке eval

5) Если найдешь строки типа

eval (base64_decode('jksdfhU...EHKj='))
очищай sed'ом

6) Впредь всегда обновляй движки и используй сложные пароли

7) Если не получается - сделаю что нужно за 2000 рублей

r0ck3r ★★★★★ ()
Последнее исправление: r0ck3r (всего исправлений: 1)

1. Прошурши код сайта

2. Переустанови сервер/виртуалку. От слова совсем. Сразу обнови.

3. Нормально настрой пых. Нет, правда, в центоси седьмой конфиг УГ.

4. Блокируй вход по SSH по IP. Как минимум не забрутфорсят.

pztrn ★★★★ ()

от рута все разворачивал

откуда на linux'е вирусы

Вот-вот, вся безопасность этого вашего линукса — миф.

anonymous ()

процесс с именем jsrxiwnlpw никогда не запускался

Ты я смотрю не особо в курсе как зловредя себя обычно ведут.

anonymous ()

Ты и жнец с жрец и на дуде игрец?

Ты сайт пишешь или сервер настраивпешь?

beastie ★★★★★ ()
Последнее исправление: beastie (всего исправлений: 1)

все что о нем им известно: 847170 root 20 0 73784 1692 196 S 67.0 0.0 369:15.79 jsrxiwnlpw

Правильнее было бы написать «всё, на что нас хватило - это узнать название процесса»
netstat -naptu, очень внимательно изучай логи сервера.
Подозреваю, что удалённо, нашими мозгами и вашими руками сервер починить будет сложно, по-этому советую обратиться к специалисту.

lnx ()
Ответ на: комментарий от Medar

Joomla небось?

Почему такое предположение ?

anonymous ()
Ответ на: комментарий от Medar

Пишу свой мего движок на руби он рейлс - у меня офигенно красивая админка, все модели удобненько настраиваются, все невероятно асинхронное. В этом и ирония, что сайт с джумлы на мой движок перенести попросили, а вот с php движками вроде джумлы, друпала никогда таких проблем не бывает - им vds не нужен, хостинг дешевле, загрузка по фтп без какой либо установки вручную postgres'а или мускла, апача или nginx'а, но я лучше помучаюсь, чем на php перейду.

Romaboy ()

В общем, ясно, остается только переустановить, заново все развернуть от пользователя, и пароли теперь буду не такие тупые пользовать

Romaboy ()
Ответ на: комментарий от Romaboy

ты все равно ищи, как зараза попала, может в движке твоем дырка. Смотри логи, там обычно можно найти. Ну и выше есть хорошие советы.

Medar ★★★★★ ()
Ответ на: комментарий от anonymous

Вот-вот, вся безопасность этого вашего линукса — миф.

Это ваши виндовые антивирусы -бред, которые ищу хрен знает что.
Засрались вирусами настолько что уже сами не знают что блокировать.
У меня в частности весь домен(да и наверное много те где я) если nod32 поставить. Да вы лечити если там есть у кого, а блокировать то нафига. Может там у кого ключи лежат :)

hbars ★★★★★ ()

от рута все разворачивал

Ну ты сам виноват, так то. Не надо было из под рута сидеть.

nrader ()
Ответ на: комментарий от Romaboy

Логи, chkrootkit/etc, пройтись find'ом (-ctime/-mtime/-exec grep), сравнить diff/md5sum файлов на сервере со своими локальными копиями, не забыть заглянуть в бд, если она есть.

Если не устранить причину появления «вирусов», тогда эта история повторится. Только в следующий раз они могут так явно не спалиться, будут по-тихому делать всякие гадкие вещи с вашего сервака. Это не винда, которую можно переустановить, чтобы решить подобные проблемы. Очень редко бывает дело в сложности паролей. Я бы искал дыру/бэкдор в коде сайта, либо тухлую версию софта, который смотрит в сеть (типа всяких phpMyAdmin).

Nietzsche ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.