Задать вопрос
@grkirill
системное-администрирование

Как избавиться от вредоносного процесса на сервере centOS?

Взломали сервер через недавнюю уязвимость в redis (был открыт порт) и подсадили процесс (/bin/unama), который явно делает что-то плохое и жрет 80% CPU.

Порты закрыл, но процесс убить не получается. Делаю kill 9 с последующим удалением файла из /bin/, но через минуту процесс снова запускается. Не понимаю что его заставляет запускаться снова. У процесса PPID - 1.

Подскажите, как мне избавиться от этого добра?
  • Вопрос задан
  • 568 просмотров
4 комментария
Подписаться 1 Оценить 4 комментария
Пригласить эксперта
Ответы на вопрос 3
@alexxandr
you'll see in memory only 0xDEADFACE
Полная переустановка сервера - 100%
Ответ написан
Комментировать
Комментировать
@vilgeforce
Раздолбай и программист
А можете на VT залить файлик /bin/unama и ссылочку дать? Передам нашему спецу по линухам. Но вообще компрометация сервера должна заканчиваться его полной переустановкой.
Ответ написан
3 комментария
3 комментария
martin74ua
@martin74ua Куратор тега Системное администрирование
Linux administrator
проверяем крон, at, остальные процессы
Полная переустановка желательна, но в принципе вычистить можно.
rpm -Va
делали? если нет - сделайте. если есть модифицированные не конфиг файлы, а бинарники или библиотеки - yum reinstall пакета
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Инженер по системному администрированию
Деловая среда от Сбербанка Москва
До 209 000 ₽
Системный администратор (инженер) 🚀
Хабр Москва
от 140 000 ₽
Системный администратор
Глобал Смарт Системс Санкт-Петербург
от 100 000 до 120 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Разработка дизайна раздела «Статьи» на сайте «Мир отходов»
23 апр. 2024, в 23:01
10000 руб./за проект
Дизайн личного кабинета (клиентская часть)
23 апр. 2024, в 22:37
500 руб./в час
Скрипт для Solana быстрый
23 апр. 2024, в 22:33
25000 руб./за проект
Ещё заказы