- gt оверквотинг удален походу CLAM делает свое дело, понаходил вирусняков, траф, Алескандр (?), 17:50 , 12-Май-16 (1)
>[оверквотинг удален] > канал, в top появляется подозрительный процесс с рандомным названием, после того > как его убьёшь, на короткий промежуток времени попускает, но спустя минуту > создается новый процесс с другим рандомным названием и все по новой. > Сканирую сервер на вирусы с помощью Clam, сменил пароли рутовых пользователей, > пока без результатно, блочу айпишники файерволом, но бестолку, так как айпишники > тоже меняются, пробовал блочить диапазоны портов, помогает, но почта не работает > в таком случае. > Что и где еще можно посмотреть ? > Спасибо заранее за ответы, просьба не пинать за мой опыт, в юниксах > я не шарю.походу CLAM делает свое дело, понаходил вирусняков, трафик попустило! - gt оверквотинг удален Обычно в таких случаях делается бэкап конфигов и нужных , Виктор (??), 23:14 , 12-Май-16 (2)
>[оверквотинг удален] > канал, в top появляется подозрительный процесс с рандомным названием, после того > как его убьёшь, на короткий промежуток времени попускает, но спустя минуту > создается новый процесс с другим рандомным названием и все по новой. > Сканирую сервер на вирусы с помощью Clam, сменил пароли рутовых пользователей, > пока без результатно, блочу айпишники файерволом, но бестолку, так как айпишники > тоже меняются, пробовал блочить диапазоны портов, помогает, но почта не работает > в таком случае. > Что и где еще можно посмотреть ? > Спасибо заранее за ответы, просьба не пинать за мой опыт, в юниксах > я не шарю.Обычно в таких случаях делается бэкап конфигов и нужных данных и система переустанавливается с нуля. Потому как, помимо вредного ПО (чаще для организаций DDoS- и DoS-атак), заменяется куча стандартного ПО сервера, на версии, содержащие бэкдоры. yum verify запустите и посмотрите лог на предмет checksum mismatch у бинарников...
- gt оверквотинг удален Еще забыл, необходимо определить место проникновения в в, Виктор (??), 23:17 , 12-Май-16 (3)
>[оверквотинг удален] > канал, в top появляется подозрительный процесс с рандомным названием, после того > как его убьёшь, на короткий промежуток времени попускает, но спустя минуту > создается новый процесс с другим рандомным названием и все по новой. > Сканирую сервер на вирусы с помощью Clam, сменил пароли рутовых пользователей, > пока без результатно, блочу айпишники файерволом, но бестолку, так как айпишники > тоже меняются, пробовал блочить диапазоны портов, помогает, но почта не работает > в таком случае. > Что и где еще можно посмотреть ? > Спасибо заранее за ответы, просьба не пинать за мой опыт, в юниксах > я не шарю.Еще забыл, необходимо определить место проникновения в вашу систему, какое именно ПО было уязвимо (в силу уязвимостей или неправильной конфигурации), т.к. при переустановке с нуля, есть шанс, что вы оставите дыру на месте.
|