欢迎光临
我们一直在努力

检查Linux 是否感染了 Ebury后门木马 病毒

系统管理员们要注意了,最好检查一下服务器有没有被Linux恶意软件入侵—— SSH的隐匿木马(rootkit)。这种能成为操作系统一部分的木马程序近两年里感染了全球25000多台Web服务器。

Ebury SSH是大型复杂操作系统Windigo关键的一部分。Windigo还有重定向网络流量的HTTP后门 Linux/Cdorked和用于发送垃圾邮件的Perl/Calfbot脚本。

Windigo出现在2011年前后,目前影响了一大批包括苹果OS X、OpenBSD、FreeBSD、微软Windows(通过Cygwin)和Linux(包括ARM架构上的Linux)等在内的操作系统。

根据德国研究机构CERT-Bund的报告,Ebury是一种Linux和Unix风格操作系统上的安全Shell隐匿木马/后门程序。

主机疑似感染了Ebury后门木马,请按照以下检测方法,确认感染后进行清理。检测方法: 用root运行’ipcs -m’,假如输出结果有一个或多个shmid(大小至少3MB)的权限是 666,那么这个系统很有可能感染了Ebury。 以下是一个感染主机运行“ipcs -m”的例子,供参考。

侵入了 SSH 服务器,会开后门,偷走所有经过本机的 SSH 用户名密码、密钥等
在本机运行ipcs -m,如果发现666权限,超过3M的空间那就是中毒了
介绍里还有一句很重要:
The network of cPanel Inc.’s support department was compromised and machines used for connecting to customers’ servers were found to be infected with Ebury [3].

Ebury

?如果显示是空的,那么就没中招;大于26k 且666权限的基本就是中招了。

未经允许不得转载:VPS指南™ » 检查Linux 是否感染了 Ebury后门木马 病毒

支付宝扫码打赏 微信扫码打赏

如果文章对您有帮助,欢迎移至上方按钮打赏稀饭

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址