VPS 서버가 있는데 해킹당했습니다. 항상 prots를 수신하는 백도어를 설치했으며 전체 / 디렉토리를 작동합니다.
이제 inotifywait를 사용하면 바이러스 프로그램이 항상 새 이름의 백도어 프로그램을 삭제하고 생성하여 2초마다 실행하는 것을 볼 수 있습니다.
이제 어떤 프로그램이 생성되고 삭제되었는지 확인하는 방법을 알고 싶습니다. 따라서 /usr/bin/ 쓰기 및 삭제와 운영자 PID를 기록해야 합니다.
'프로그램맘'이 누구인지 알 수 있다면 완전 속일 수 있을 것 같았다.
답변1
면책 조항: 저는 보안 전문가가 아니며 단지 관심이 있을 뿐입니다. 서버가 귀하/귀하의 업무에 중요하거나 중요한 경우 보안 감사자의 전문 서비스를 찾는 것이 좋습니다.
inotify는 프로세스 ID에 대한 정보를 제공하지 않으므로 실행하여 lsof | grep FILENAME파일이 열려 있는 프로세스를 확인할 수 있지만 오랫동안 파일을 열어 두지 않는 한 파일에 쓰는 도중에 프로세스를 잡을 수 있습니다.
그러나 시스템이 손상되었습니다. 악의적인 공격이 무엇을 했는지 알아낼 수 있는 좋은/신뢰할 수 있는 방법이 없기 때문에 신뢰할 수 없다고 생각합니다. 따라서 시스템의 어느 부분이 손상되었는지 알 수 없습니다. 예를 들어 ls백도어를 제거했다고 생각하더라도 백도어를 다시 다운로드하도록 바이너리를 수정할 수 있습니다. 감염된 시스템을 적절하고 철저하게 치료하는 것은 간단한 작업이 아니며 그렇게 하는 동안 시스템과 싸우지 않도록 오프라인으로 수행하는 것이 가장 좋습니다.
이상적으로는 감염된 시스템을 즉시 종료하여 해당 시스템이 이미 수행한 것보다 (자체 운영 체제 또는 다른 시스템에) 더 많은 피해를 입히는 것을 방지해야 합니다. 시스템에 의존하는 경우 이는 어려울 수 있지만 그렇게 하지 않으면 더 나쁜 결과를 초래할 수 있습니다(전적으로 시스템의 기능에 따라 다름).
내 생각에 깨끗한 시스템을 보장하는 가장 좋은 방법은 바이러스/악성 코드를 확인한 후 복사할 수 없는 필수 데이터만(가급적 백업에서) 다른 VPS에서 처음부터 다시 설정하는 것입니다. 마이그레이션된 상자가 손상되었으므로 새 상자도 손상될 수 있습니다.
공격자가 어떻게 침입했는지 알아내기 위해 시스템을 조사할 수 있도록 잠시 동안 기존 시스템을 오프라인 상태로 유지하는 것이 편리할 수 있습니다. 이 정보는 시스템 보안을 향상하는 데 사용됩니다.
최선의 조치는 시스템의 목적과 중요성에 따라 다릅니다. 따라서 보안 감사관이 시스템과 설정을 검토하여 귀하가 할 수 있는 최선의 조언을 제공하도록 하는 것이 좋습니다.