Возможный дубликат:
Как мне поступить со взломанным сервером?
Я просканировал весь свой vps, обнаружив папку выше с большим количеством вирусов. Могу ли я безопасно удалить эту папку? Могу ли я использовать ssh или есть способ сделать это через командную строку?
Конкретные результаты:
/tmp/.xzibit/new64: UNIX.Exploit.CVE_2010_3301-2 FOUND
/tmp/.xzibit/c/robert_you_suck.c: UNIX.Exploit.CVE_2010_3301-1 FOUND
/tmp/.xzibit/ab: UNIX.Exploit.CVE_2010_3301-1 FOUND
/tmp/.xzibit/3/ptrace: Linux.RST.B-1 FOUND
/tmp/.xzibit/3/ptrace24: Linux.Rst.A FOUND
/tmp/.xzibit/3/elf: Exploit.Linux.Race.C FOUND
/tmp/.xzibit/3/brk: Linux.Brk.B FOUND
/tmp/.xzibit/3/90: Linux.Osf.3974 FOUND
/tmp/.xzibit/3/ex: Linux.RST.B-1 FOUND
/tmp/.xzibit/3/x: Linux.RST.B-1 FOUND
/tmp/.xzibit/3/ee: Linux.RST.B-1 FOUND
/tmp/.xzibit/3/nc: Linux.Rst.A FOUND
/tmp/.xzibit/3/e2: Linux.RST.B-1 FOUND
/tmp/.xzibit/3/uselib24: Exploit.Linux.Race.C FOUND
/tmp/.xzibit/1/32/therebel/exploit.c: Exploit.Linux-2 FOUND
/tmp/.xzibit/01: UNIX.Exploit.CVE_2010_3301-2 FOUND
Дополнительная информация: Я заметил, что веб-сайты на этом сайте были взломаны в прошёл, отсканировал и почистил. Это был первый раз, когда я решил сканировать все, а не только веб-каталог. Это единственное, что может привести меня к мысли, что это оставшийся мусор, который я пропустил раньше и пришел с одного из сайтов (поскольку он все еще застрял в каталоге tmp). Правильно ли это предположить?
ПРИМЕЧАНИЕ. Вам следует немедленно По поводу вашего вопроса проконсультируйтесь со специалистом по безопасности системы Linux, так как ваша система может быть взломана.
Похоже, ваша система каким-то образом скомпрометирована.
Описанная папка представляет собой "точечный файл" Linux. «Точечные файлы» обычно используются для хранения данных конфигурации для программ, однако, как вы видите в своих результатах, в этой папке находится несколько программ на языке C, что также не является хорошим знаком.
Вы можете попробовать Rootkit Hunter ( http://rkhunter.sourceforge.net/ ), чтобы узнать, присутствуют ли какие-либо руткиты.
Если ваш VPS находится на общем сервере / хостинге, вам, вероятно, следует обратиться к своему хостинг-провайдеру.
Если это действительно вирус / руткит / бэкдор, и вы можете удалить его из своей системы, вы также можете подумать об изменении паролей, если вы не уверены в безопасности своей системы.
Вы можете вероятно, удалите файлы, но это может не решить проблему, если они успешно использовали вашу систему.
Что касается / tmp /, используйте следующее в качестве руководства для принятия решения, следует ли удалять файлы:
"Этот каталог в основном содержит файлы, которые требуются временно. Многие программы используют это для создания файлов блокировки и для временного хранения данных. Не удаляйте файлы из этого каталога, если вы точно не знаете, что делаете! Многие из этих файлов важны для запущенных в данный момент программ и их удаление может привести к сбою системы. Обычно выигрывает » в любом случае содержат более нескольких КБ. В большинстве систем этот каталог очищается при загрузке или завершении работы локальной системой. Основанием для этого послужили исторический прецедент и общепринятая практика. Однако это не было обязательным требованием, поскольку системное администрирование не входит в компетенцию FSSTND. По этой причине люди и программы не должны предполагать, что какие-либо файлы или каталоги в / tmp сохраняются между вызовами программы. Причина этого - соответствие стандарту IEEE P1003.2 (POSIX, часть 2) ".
Источник: http://www.tldp.org/LDP/Linux-Filesystem-Hierarchy/html/tmp .html
Для удаления всех файлов / папок в этом каталоге это не было обязательным требованием, потому что системное администрирование не входит в компетенцию FSSTND. По этой причине люди и программы не должны предполагать, что какие-либо файлы или каталоги в / tmp сохраняются между вызовами программы. Причина этого - соответствие стандарту IEEE P1003.2 (POSIX, часть 2) ".
Источник: http://www.tldp.org/LDP/Linux-Filesystem-Hierarchy/html/tmp .html
Для удаления всех файлов / папок в этом каталоге это не было обязательным требованием, потому что системное администрирование не входит в компетенцию FSSTND. По этой причине люди и программы не должны предполагать, что какие-либо файлы или каталоги в / tmp сохраняются между вызовами программы. Причина этого - соответствие стандарту IEEE P1003.2 (POSIX, часть 2) ".
Источник: http://www.tldp.org/LDP/Linux-Filesystem-Hierarchy/html/tmp .html
Для удаления всех файлов / папок в этом каталоге rm -rf /tmp/.xzibit
Просто имейте в виду, что ваша система может быть скомпрометирована из-за того, что у вас нет инструментов для обнаружения.
РЕДАКТИРОВАТЬ: См. ответ Майкла Хэмптона на ваш вопрос для рекомендаций по дальнейшим курсам действия.