Как вычистить вирус в debian?

Question

[Антон Уланов]

Всем привет. Заметили странность в поведении одного из серверов, он всеми фибрами ломится в инет.
В Каталоге /bin с десяток файлов с именами вида: rmwfujisoznvjv и аналогичных. Как можно от них избавиться?
netstat -pc выдает 164.132.170.78:x11-2 ESTABLISHED 1089/top

Answer 1

[AVKor]

Антивирусом.

Comments

[Антон Уланов]

а если его не реально поставить?
debian дико порезан

[AVKor]

Антон Уланов, Что значит "порезан"? Туда нельзя ставить другие пакеты, помимо уже установленных?

Тогда, наверно, ставить по новой.

[Антон Уланов]

AVKor, по новой не поставить это железка с установленной осью, в данный момент осталось понять кто и что выполняет, от файлов я избавился.
tcp 0 0 192.168.1.251:49911 198.50.134.48:3128 ESTABLISHED 1246/systemd --user
tcp 0 0 192.168.1.251:36279 23.247.54.44:mysql ESTABLISHED 1087/uptime
соединения 3 но 3е это ssh и это мое соединение по этому сюда его не написал
это два левых процесса

[AVKor]

Антон Уланов, Не знаю, что за железка, но если уже раз заразили, значит, возможно повторение, если не примете какие-то меры по обеспечению безопасности.

[Антон Уланов]

AVKor, меры приняты уже осталось избавиться от последствий не принятых заранее мер

[AVKor]

Антон Уланов, Аудит целостности установленных пакетов сделайте, если ещё не делали.

[Антон Уланов]

AVKor, подскажите плз как

[AVKor]

Антон Уланов, debsums

Answer 2

[Владимир]

Если сервер уже скомпрометированн то самый простой вариант сбекапить контент и конфиги и ресетапать ОС,
Попытки разобраться что там происходит и вычистить заражонные файлы займет больше времени чем переустановка ОС.

Comments

[Антон Уланов]

все бы хорошо, кроме того что ресет системы это трэш ибо железка s-terra и там ресет только через usb флэшку

[Владимир]

Треш это сопровождать скомпрометирыванную систему - вы никогда не сможете быть уверенны что 100% все вычистили, что там не остался дето подгруженный модуль ядра или модифицированные бинари гдето. Любая трабла там будет вас заставлять думать а не связано ли это с тем отломом.... ?
Хотите спать спокойно - переустанавливайте ОС.

[Антон Уланов]

Владимир, это все супер когда это полноценный сервера а не какаянибудь железка аля аликс боард