Задать вопрос
@grkirill
системное-администрирование

Как избавиться от вредоносного процесса на сервере centOS?

Взломали сервер через недавнюю уязвимость в redis (был открыт порт) и подсадили процесс (/bin/unama), который явно делает что-то плохое и жрет 80% CPU.

Порты закрыл, но процесс убить не получается. Делаю kill 9 с последующим удалением файла из /bin/, но через минуту процесс снова запускается. Не понимаю что его заставляет запускаться снова. У процесса PPID - 1.

Подскажите, как мне избавиться от этого добра?
  • Вопрос задан
  • 569 просмотров
4 комментария
Подписаться 1 Оценить 4 комментария
Пригласить эксперта
Ответы на вопрос 3
@alexxandr
you'll see in memory only 0xDEADFACE
Полная переустановка сервера - 100%
Ответ написан
Комментировать
Комментировать
@vilgeforce
Раздолбай и программист
А можете на VT залить файлик /bin/unama и ссылочку дать? Передам нашему спецу по линухам. Но вообще компрометация сервера должна заканчиваться его полной переустановкой.
Ответ написан
3 комментария
3 комментария
martin74ua
@martin74ua Куратор тега Системное администрирование
Linux administrator
проверяем крон, at, остальные процессы
Полная переустановка желательна, но в принципе вычистить можно.
rpm -Va
делали? если нет - сделайте. если есть модифицированные не конфиг файлы, а бинарники или библиотеки - yum reinstall пакета
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
Вакансии с Хабр Карьеры
Пентестер, аудит Active Directory, инфраструктура
AppSec Solution
от 100 000 до 120 000 ₽
Системный администратор
Wanted. Санкт-Петербург
До 100 000 ₽
DevOps Engineer/System Administrator
Freuders
от 4 000 $
Ещё вакансии
Заказы с Хабр Фриланса
Рекламный пост
16 февр. 2025, в 19:54
500 руб./за проект
Надо найти рабочую связку ustd/uzs и рассказать как ее проворачивать
16 февр. 2025, в 17:15
1000 руб./за проект
Docker на развертывание Django + React
16 февр. 2025, в 15:54
2500 руб./за проект
Ещё заказы