私のLinuxサーバーがハッキングされました。これで、ルートディレクトリに多くのトラフィックを生成するファイルがあります。プロセスを終了すると、自動的に再起動されます。その後、chmod -xを実行しました。しかし、xオプションを返しました。 crontabジョブはありません。何が起こっているのかを確認するためにauditdをインストールしました。ところで、どのように自動的に起動するのが見つかりませんか?たぶん、自動的に起動するために動作する他のプロセス(デーモン)があるかもしれません。このプロセスを開始したデーモンの活動をどのように追跡できますか?
ありがとうございます。
答え1
サーバーがハッキングされている場合は、現在の状態では使用しないでください。データをバックアップし、強化された新しいサーバーを設定して環境を設定します。マルウェアをバックアップして新しいサーバーに設定する可能性があるため、バックアップするときは注意してください。 1つの問題を解決しても、サーバーに有害なアプリケーションがたくさんある可能性があるためです。
答え2
マシンをオフラインに切り替えます。つまり、ネットワークケーブルを抜いて終了したら、ライブメディアから起動して画像を作成します。または可能であれば走りながら想像してみてください。後で適切なツールを使用してフォレンジックを実行できます。私はDEFTを使います:www.deftlinux.net