Как избавиться от вируса на VPS?

Тема в разделе "Администрирование серверов", создана пользователем baboon, 25 фев 2009.

Статус темы:
Закрыта.
Модераторы: mefish, stooper
  1. baboon

    baboon Создатель

    Регистр.:
    3 июл 2008
    Сообщения:
    38
    Симпатии:
    6
    Получил от хостера письмо: "На вашем сервере была замечена активность, программ перебирающих пароль по ssh, почистите сервер или мы его заблокируем".

    В Unix'e я абсолютно безграмотен, а суппорт не собирается даже советом помочь, ихнее дело впарить, а не консультировать, как я понял.

    На данный момент нашел юниксовый антивирус Panda, с расширением *.rpm. Залил его на сервер, а вот что дальше делать никак не пойму :(

    Если не сложно, подскажите, пожалуйста, пошагово, для полного нуба, как запустить этот антивирь, имея доступ к ssh, и что делать дальше?

    Заранее спасибо!
     
  2. Tele2

    Tele2

    Регистр.:
    14 апр 2006
    Сообщения:
    784
    Симпатии:
    94
    Попробуй ClamAv.

    Добавлено через 1 минуту
    Если федора или ей подобная система rpm -i panda(.*).rpm
     
    baboon нравится это.
  3. Justrunme

    Justrunme Постоялец

    Регистр.:
    12 апр 2008
    Сообщения:
    76
    Симпатии:
    8
    Можно без добавлений использовать встроенные функции (фаервол). Поставить запрет на порты, в зависимости от вида сервера: почтовый, вэб, терминальный и т.д. Это пожалуй самое быстрое решение проблемы... А антивирус нужен по-любому
     
    baboon нравится это.
  4. baboon

    baboon Создатель

    Регистр.:
    3 июл 2008
    Сообщения:
    38
    Симпатии:
    6
    Огромное спасибо, благодаря вашим советам удалось найти 11 вирусов и удалить 10 из них. Но вот последний вцепился крепко:

    /home/../var/tmp/ /a/ssh
    Found virus :Linux/Rst.A
    -Disinfect/Rename/Erase/Ignore? (D/R/E/I) d
    Virus could not be disinfected
    -Rename/Erase/Ignore? (R/E/I) e
    File could not be deleted

    Не полечить, не удалить, переименовать тоже не вышло. Можно ли как-то справится с ним?
     
  5. psknnn

    psknnn

    Регистр.:
    9 окт 2008
    Сообщения:
    379
    Симпатии:
    227
    он в активных процесах значит висит, убей его
     
  6. unsiker

    unsiker

    Регистр.:
    6 июн 2008
    Сообщения:
    465
    Симпатии:
    172
    нужно посмотреть какой процес его держит ... либо права на файл ... зайти под рутом и попробовать его удалить если не удается то убить процес командой kill и после этого удалять
     
  7. baboon

    baboon Создатель

    Регистр.:
    3 июл 2008
    Сообщения:
    38
    Симпатии:
    6
    Посмотрел процессы, ничего не понял - опять сказывается мое нубство (

    Думал эти:
    apache 13907 936 16 ? T Feb23 0:00 ./ssh 270
    apache 13909 0 0 ? Z Feb23 0:00 \_ [ssh] <defunct>

    но они сразу же опять появляются после килла.

    В proc_list.txt список всех текущих процессов. Подскажите, пожалуйста, который из них искомый? :thenks:
     

    Вложения:

    • proc_list.txt
      Размер файла:
      7,1 КБ
      Просмотров:
      12
  8. antiadmin

    antiadmin

    Регистр.:
    24 май 2008
    Сообщения:
    395
    Симпатии:
    23
    Останови полностью апач, если эти 2 процесса не остановятся, значит это они
     
  9. spawn_610

    spawn_610 Создатель

    Регистр.:
    13 ноя 2008
    Сообщения:
    27
    Симпатии:
    0
    заблочить фаером удалённый 22 порт
     
  10. r00t

    r00t

    Регистр.:
    30 июл 2006
    Сообщения:
    192
    Симпатии:
    65
    Установи rkhunter и chkrootkit и проверяй систему.
     
Статус темы:
Закрыта.