私のサーバーのいくつかのスパムスクリプト(1時間あたり何千もの電子メールを送信)clamavを使用して私のサーバーCentOS7 + Virtualminをスキャンしました。結果は次のとおりです。
/home/joudakpk/homes/info/Maildir/cur/1555410522.27486_0.ser.voceweb.com: Email.Phishing.VOF1-6314019-0 FOUND
/home/joudakpk/homes/info/Maildir/cur/1554693257.32497_0.ser.voceweb.com: Email.Trojan.Toa-5493309-0 FOUND
/var/lib/clamav/rfxn.hdb: YARA.Safe0ver_Shell__Safe_Mod_Bypass_By_Evilc0der_php.UNOFFICIAL FOUND
/var/lib/clamav/rfxn.yara: {HEX}php.gzbase64.inject.452.UNOFFICIAL FOUND
/var/lib/clamav/rfxn.ndb: YARA.Safe0ver_Shell__Safe_Mod_Bypass_By_Evilc0der_php.UNOFFICIAL FOUND
/var/log/clamav/manual_clamscan.log: YARA.Safe0ver_Shell__Safe_Mod_Bypass_By_Evilc0der_php.UNOFFICIAL FOUND
/var/spool/postfix/deferred/9/988795815AA: YARA.r57shell_php_php.UNOFFICIAL FOUND
/usr/local/maldetect/sigs/md5v2.dat: YARA.Safe0ver_Shell__Safe_Mod_Bypass_By_Evilc0der_php.UNOFFICIAL FOUND
/usr/local/maldetect/sigs/rfxn.hdb: YARA.Safe0ver_Shell__Safe_Mod_Bypass_By_Evilc0der_php.UNOFFICIAL FOUND
/usr/local/maldetect/sigs/rfxn.yara: {HEX}php.gzbase64.inject.452.UNOFFICIAL FOUND
/usr/local/maldetect/sigs/md5.dat: YARA.Safe0ver_Shell__Safe_Mod_Bypass_By_Evilc0der_php.UNOFFICIAL FOUND
/usr/local/maldetect/sigs/hex.dat: YARA.Safe0ver_Shell__Safe_Mod_Bypass_By_Evilc0der_php.UNOFFICIAL FOUND
/usr/local/maldetect/sigs/rfxn.ndb: YARA.Safe0ver_Shell__Safe_Mod_Bypass_By_Evilc0der_php.UNOFFICIAL FOUND
/usr/local/maldetect/logs/event_log: YARA.r57shell_php_php.UNOFFICIAL FOUND
/usr/local/maldetect/sess/quarantine.hist: YARA.r57shell_php_php.UNOFFICIAL FOUND
/usr/local/maldetect/sess/hits.hist: YARA.r57shell_php_php.UNOFFICIAL FOUND
/usr/local/maldetect/sess/session.190502-0005.4595: YARA.r57shell_php_php.UNOFFICIAL FOUND
/usr/local/maldetect/sess/session.hits.190502-0005.4595: YARA.r57shell_php_php.UNOFFICIAL FOUND
/usr/local/maldetect/sigs.old/md5v2.dat: YARA.Safe0ver_Shell__Safe_Mod_Bypass_By_Evilc0der_php.UNOFFICIAL FOUND
/usr/local/maldetect/sigs.old/rfxn.hdb: YARA.Safe0ver_Shell__Safe_Mod_Bypass_By_Evilc0der_php.UNOFFICIAL FOUND
/usr/local/maldetect/sigs.old/rfxn.yara: {HEX}php.gzbase64.inject.452.UNOFFICIAL FOUND
/usr/local/maldetect/sigs.old/md5.dat: YARA.Safe0ver_Shell__Safe_Mod_Bypass_By_Evilc0der_php.UNOFFICIAL FOUND
/usr/local/maldetect/sigs.old/hex.dat: YARA.Safe0ver_Shell__Safe_Mod_Bypass_By_Evilc0der_php.UNOFFICIAL FOUND
/usr/local/maldetect/sigs.old/rfxn.ndb: YARA.Safe0ver_Shell__Safe_Mod_Bypass_By_Evilc0der_php.UNOFFICIAL FOUND
/usr/local/maldetect/clean/gzbase64.inject.unclassed: {HEX}php.gzbase64.inject.452.UNOFFICIAL FOUND
/usr/share/clamav/rfxn.hdb: YARA.Safe0ver_Shell__Safe_Mod_Bypass_By_Evilc0der_php.UNOFFICIAL FOUND
/usr/share/clamav/rfxn.yara: {HEX}php.gzbase64.inject.452.UNOFFICIAL FOUND
/usr/share/clamav/rfxn.ndb: YARA.Safe0ver_Shell__Safe_Mod_Bypass_By_Evilc0der_php.UNOFFICIAL FOUND
----------- SCAN SUMMARY -----------
Known viruses: 6139866
Engine version: 0.101.2
Scanned directories: 123063
Scanned files: 643152
Infected files: 28
Total errors: 13042
Data scanned: 130821.71 MB
Data read: 109355.80 MB (ratio 1.20:1)
Time: 20850.863 sec (347 m 30 s)
まず、すべてのユーザーパスワード、マスターパスワードを変更し、rootログインを無効にしました。 2番目:「info」フォルダとinfoユーザーを削除しました。
今何をすべきかわかりませんか?
答え1
読みやすいようにここに返信します。
これらのファイルは削除できます。その後、インストールヘッドハンター、このツールは、潜在的に修正されたバイナリまたは望ましくないコンテンツがあるかどうかをコンピュータをスキャンします。
それはサーバーがきれいであるという意味ではありません。 Linuxでは、不快な隠された作業をするのは簡単で、コンピュータを再確認する必要があります。ところで、その人たちがどのようにあなたのサーバーをハッキングしたのかを調べる必要があります。 Webページから来る場合は、再び戻らないように保護する必要があります。したがって、機械がきれいであることを「確認」する前に確認する必要があることがたくさんあります。