На сервере с Ubuntu 14.04 появился вирус, устраивающий ddos-атаку примерно раз в день на 40 гб трафика.
Поставил антивирус Clamav, он удалил несколько зараженных файлов (названия не запомнил), ребутнул систему, но атаки не прекратились. Есть ли способ избавиться от этого вируса? И как он мог появится?
Root'овый пароль сложный, на локальной машине вирусов нет.
На сервере стоят только распространенные пакеты:
nginx, mysql, redis, nodejs
nodejs используется как вебсервер (через express и socket.io) - но функционал в нем очень простой, взлом через него маловероятен. Но сам nodejs запускается из-под root'а.
Можно попробовать файрволом запретить, мониторить и логировать трафик.
Попробуй через tcpdump поймать левый трафик .
Проще с нуля поставить, чем искать.
Сделать снимок системы и уже локально, например в виртуалке искать.
Во-первых, не запускайте node.js из под рута. Лучше из под рута вообще ничего не запускать, если вы на 100% не уверены для чего вы это делаете.
Во-вторых, судя по набору софта который вы написали - вы не поставили пароль на redis, и он у вас открыт во внешний мир. Смотрите в эту сторону
Не могу поймать момент когда начинается атака, она запускается на непродолжительное время. Я вижу только последствия в статистике трафика на веб-панеле хостинга.
Средний
Простой
