Форум русскоязычного сообщества Ubuntu


Считаете, что Ubuntu недостаточно дружелюбна к новичкам?
Помогите создать новое Руководство для новичков!

Автор Тема: похоже на вирус в процессе  (Прочитано 666 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн jerrard.genr

  • Автор темы
  • Новичок
  • *
  • Сообщений: 1
    • Просмотр профиля
похоже на вирус в процессе
« : 09 Январь 2020, 13:20:23 »
Добрый день!
Имеем VDS на ubunto 16.04 и два сайта wp и на yii2

Видимо поймал вирус. проверили по "lsof" процессы и соединения , ничего не нашли. Похожу что заражен процесс(если такое возможно).
Вирус меняет файл index.php (вставляет вредоносный код), при изменении или удалении файла вручную , вирус его переписывает(не моментально, похоже что раз в день)

Подскажите куда копать ? Как можно отследить и поймать демона? auditb установить не получается, есть ли идеи?

Оффлайн БТР

  • Заслуженный пользователь
  • Модератор форума
  • Старожил
  • *
  • Сообщений: 5424
    • Просмотр профиля
Re: похоже на вирус в процессе
« Ответ #1 : 09 Январь 2020, 14:24:58 »
auditb установить не получается
почему? это самый простой способ. Пакет называется auditd (не auditb).

используйте функционал inotify + strace
« Последнее редактирование: 09 Январь 2020, 15:20:47 от БТР »

Оффлайн AlexBKost

  • Старожил
  • *
  • Сообщений: 3061
  • Kubuntu 12.04, 16.04, 18.04, 20.04, 21.04, 21.10
    • Просмотр профиля
Re: похоже на вирус в процессе
« Ответ #2 : 09 Январь 2020, 18:42:11 »
jerrard.genr, вирусы на Ubuntu - это МИФ.
Я странен, а не странен кто ж? (С)

Оффлайн Usermaster

  • Старожил
  • *
  • Сообщений: 1158
    • Просмотр профиля
Re: похоже на вирус в процессе
« Ответ #3 : 10 Январь 2020, 12:43:30 »
Для начала все пароли доступа к серверу сменили бы.
Можно отследить чужие авторизации в зависимости от того какими способами разрешены входы на сервер.

Оффлайн snowin

  • Активист
  • *
  • Сообщений: 882
    • Просмотр профиля
Re: похоже на вирус в процессе
« Ответ #4 : 10 Январь 2020, 12:51:56 »
вирусы на Ubuntu - это МИФ.
понятие "вирус" довольно широкое
под него может попасть и какой-нить шифровальщик и криптомайникг, который не портит систему как таковую, но нагрузит её по самое неболуйся

Оффлайн Usermaster

  • Старожил
  • *
  • Сообщений: 1158
    • Просмотр профиля
Re: похоже на вирус в процессе
« Ответ #5 : 10 Январь 2020, 13:06:49 »
понятие "вирус" довольно широкое
под него может попасть и какой-нить шифровальщик и криптомайникг, который не портит систему как таковую, но нагрузит её по самое неболуйся

Вирус довольно тонкая и изощьрённая вещь, как правило тело его в системе найти очень трудно.
А это обычно характеризуют термином "вредоносное ПО".

Оффлайн БТР

  • Заслуженный пользователь
  • Модератор форума
  • Старожил
  • *
  • Сообщений: 5424
    • Просмотр профиля
Re: похоже на вирус в процессе
« Ответ #6 : 10 Январь 2020, 14:50:44 »
jerrard.genr, может поделитесь результатом? Тема отмечена как решённая.

Оффлайн MooSE

  • Старожил
  • *
  • Сообщений: 1027
    • Просмотр профиля
Re: похоже на вирус в процессе
« Ответ #7 : 11 Январь 2020, 09:25:12 »
Цитировать
Вирус меняет файл index.php (вставляет вредоносный код), при изменении или удалении файла вручную , вирус его переписывает(не моментально, похоже что раз в день)

А не может ваш php-код быть с дырой?

Какой веб-сервер используете? Под каким пользователем он запущен? Кто владелец файла index.php? Попробуйте сделать две вещи:
1. Сделать файл недоступным для записи веб-серверу
2. Посмотреть логи веб-сервера на предмет злых ботов, пытающихся эксплуатировать дыры в стандартных движках.

Оффлайн F12

  • Старожил
  • *
  • Сообщений: 2633
    • Просмотр профиля
Re: похоже на вирус в процессе
« Ответ #8 : 12 Январь 2020, 21:27:47 »
jerrard.genr, может поделитесь результатом? Тема отмечена как решённая.
+1

 

Страница сгенерирована за 0.112 секунд. Запросов: 25.