>>> 此贴的回复 >> 首先你要知道, worm != virus。
基本上处理主机被入侵需要有完备的知识才可以处理好,这就不是几句话可以说清楚的。
在 unix 系统上通常若是主机被入侵的话,最好方式就是备份好重要资料重新安装。不过要注意的是通常主机会被入侵植入后门,常见不外乎主机根本没有安装 security/bug fixed 的更新软件包,因为程式安全漏洞被入侵。另外就是机器开放远端登入,但是帐号密码被猜到所以外流引起相关问题。
你的问题描述,还在使用一个过时而且完全没有任何 security update 的 redhat linux 8 这种版本,若这类系统对外但是相关的服务都还是使用内建的软件的话,可想而知问题有多严重。 既然你的 apache 有安全漏洞引起能够执行系统的 perl 命令,那你先把 apache 停掉后观察情况。而若机器没有被放其他后门的话,装新版本没有 security issue 的 apache 版本后上线。而知道若是因为 openssl 的问题,也请顺便处理该问题。
若你机器已经被放其他后门,那是很难谈清楚处理方式。比方有被放 rootkit 相关程式的话,可以的话可以去 http://www.chkrootkit.org/ 先去抓 chkrootkit 软件来检查看看情况,然后看情况处理下去。而被入侵的话基本上系统可能有一堆档案早就被换过了,常见的 ps/netstat 等,甚至有比较特殊的木马/攻击程式会用 kernel module 方式载入拦截相关项目,这要清查就真的需要一番学问。而有程式甚至放 crontab 定期执行,这类有的没有的配置检查需要许多知识与人力处理。
还有你可能没有看清楚我说的 "security/bug fixed" 的意思,我说的是 rh8 这种过时没有任何维护的版本,当然不会有官方释放出来的安全漏洞更新或者是臭虫的修正这类软件可以安装使用。当然,自己抓取软件本身的 source code 编译安装使用也可以,只是本来维护中的 linux distro 本来就会由维护的厂商/单位释放出可以直接使用的 binary 软件包,这对于一般系统管理上也会更方便使用。
一般 linux 系统,甚至 windows 安装好后,通常我们第一件事情就是先安装更新软件,那您认为你的机器平时安装好后有在进行这个议题吗?机器还是对外服务的机器吗?那请自求多福。
[ 关闭窗口 ]