내 Linux 서버가 해킹당했습니다. 이제 루트 디렉터리에 많은 트래픽을 생성하는 파일이 있습니다. 프로세스를 종료하면 자동으로 다시 시작됩니다. 그런 다음 chmod -x를 수행했습니다. 그러나 x 옵션을 반환했습니다. crontab 작업이 없습니다. 무슨 일이 일어나고 있는지 확인하기 위해 auditd를 설치했습니다. 그런데 어떻게 자동으로 시작되는지 찾을 수 없나요? 어쩌면 자동으로 시작하기 위해 작동하는 다른 프로세스(데몬)가 있을 수도 있습니다. 이 프로세스를 시작한 데몬의 활동을 어떻게 추적할 수 있습니까?
감사해요.
답변1
서버가 해킹된 경우 현재 상태로는 사용하지 마세요. 데이터를 백업한 다음 강화된 새 서버를 설정하고 환경을 설정하세요. 악성코드를 백업하여 새 서버에 설정할 수도 있으므로 백업할 때 주의하세요. 한 가지 문제를 해결하더라도 서버에 유해한 애플리케이션이 많이 있을 수 있기 때문입니다.
답변2
머신을 오프라인으로 전환합니다. 즉, 네트워크 케이블을 뽑고 종료한 후 라이브 미디어에서 부팅하고 이미지를 생성합니다. 아니면 가능하다면 달리면서 상상해 보세요. 나중에 적절한 도구를 사용하여 포렌식을 수행할 수 있습니다. 저는 DEFT를 사용하겠습니다: www.deftlinux.net