>>> 此貼的回復 >> 首先你要知道, worm != virus。
基本上處理主機被入侵需要有完備的知識才可以處理好,這就不是幾句話可以說清楚的。
在 unix 系統上通常若是主機被入侵的話,最好方式就是備份好重要資料重新安裝。不過要注意的是通常主機會被入侵植入後門,常見不外乎主機根本沒有安裝 security/bug fixed 的更新軟件包,因為程式安全漏洞被入侵。另外就是機器開放遠端登入,但是帳號密碼被猜到所以外流引起相關問題。
你的問題描述,還在使用一個過時而且完全沒有任何 security update 的 redhat linux 8 這種版本,若這類系統對外但是相關的服務都還是使用內建的軟件的話,可想而知問題有多嚴重。 既然你的 apache 有安全漏洞引起能夠執行系統的 perl 命令,那你先把 apache 停掉後觀察情況。而若機器沒有被放其他後門的話,裝新版本沒有 security issue 的 apache 版本後上線。而知道若是因為 openssl 的問題,也請順便處理該問題。
若你機器已經被放其他後門,那是很難談清楚處理方式。比方有被放 rootkit 相關程式的話,可以的話可以去 http://www.chkrootkit.org/ 先去抓 chkrootkit 軟件來檢查看看情況,然後看情況處理下去。而被入侵的話基本上系統可能有一堆檔案早就被換過了,常見的 ps/netstat 等,甚至有比較特殊的木馬/攻擊程式會用 kernel module 方式載入攔截相關項目,這要清查就真的需要一番學問。而有程式甚至放 crontab 定期執行,這類有的沒有的配置檢查需要許多知識與人力處理。
還有你可能沒有看清楚我說的 "security/bug fixed" 的意思,我說的是 rh8 這種過時沒有任何維護的版本,當然不會有官方釋放出來的安全漏洞更新或者是臭蟲的修正這類軟件可以安裝使用。當然,自己抓取軟件本身的 source code 編譯安裝使用也可以,只是本來維護中的 linux distro 本來就會由維護的廠商/單位釋放出可以直接使用的 binary 軟件包,這對於一般系統管理上也會更方便使用。
一般 linux 系統,甚至 windows 安裝好後,通常我們第一件事情就是先安裝更新軟件,那您認為你的機器平時安裝好後有在進行這個議題嗎?機器還是對外服務的機器嗎?那請自求多福。
[ 關閉窗口 ]