악성 코드에 감염된 CENTOS 서버가 있습니다. 상단에 모든 CPU를 소비하는 알 수 없는 프로세스가 있다는 메시지가 표시되며, 해당 프로세스를 종료하면 다른 이름으로 다시 생성됩니다.
이 악성 코드를 치료하고 근본 원인을 찾는 가장 좋은 방법은 무엇입니까? 이 상황에서 바이러스 백신 소프트웨어를 설치하는 것이 도움이 될까요? 그렇다면 어느 것입니까?
답변1
루트 액세스 권한을 얻은 후에는(당신이 갖고 있는 것처럼 들리지만) 권장되는 접근 방식은 운영 체제를 다시 설치하고주의 깊은백업에서 데이터를 복원하세요. 중요한 시스템이라면 즉시 네트워크 연결을 끊겠습니다.
서버가 그다지 중요하지 않은 경우 근본 원인을 추적하여 이러한 문제가 다시 발생하지 않도록 조치를 취하는 것이 교육적일 수 있습니다. 그러나 이를 수행하려면 운영 체제와 Unix 도구에 대해 잘 알고 있어야 합니다.
시스템을 정리하는 데 오랜 시간이 걸릴 수 있지만 새 운영 체제를 다시 설치하지 않으면 모든 악성 바이너리 및/또는 스크립트가 제거되었다고 100% 확신할 수 없습니다.
McAfee와 같은 공급업체는 Linux용 바이러스 백신 소프트웨어를 제공하지만 이를 사용하는 사람을 본 적이 없습니다. 아마도 회사 정책에 따라 바이러스 백신 소프트웨어를 사용해야 하는 경우일 것입니다.
편집하다: 나중에 설치하겠습니다헤드 헌터(Rootkit Hunter)는 루트킷, 백도어 및 기타 다양한 취약점을 검색하는 도구입니다. 깨끗한 시스템에 설치해야 하며 야간 cron 작업을 사용하여 시스템 바이너리에서 차이점을 검사하고 차이점이 발견되면 경고를 표시해야 합니다. CentOS 시스템의 경우 RPM에 내장된 확인을 사용하도록 구성할 수도 있는데, 이는 rpm -Va
RPM 패키지 관리자가 설치한 모든 파일의 확인을 실행하는 데 유용한 추가 기능이라고 생각합니다.