被后门木马感染的Web服务器，如何修复？

Question

最近，我的linux服务器发送了一个很大的文件(10 my 10G/S在某些时候在外面，但我不知道原因是什么。这是屏幕截图

我使用clamav扫描所有文件并得到结果

19975  /usr/sbin/lsof: Linux.Trojan.Agent FOUND
19988  /usr/sbin/ss: Linux.Trojan.Agent FOUND
20076  /usr/bin/bsd-port/getty: Linux.Trojan.Agent FOUND
20095  /usr/bin/.sshd: Linux.Trojan.Agent FOUND
103568  /bin/ps: Linux.Trojan.Agent FOUND
103575  /bin/netstat: Linux.Trojan.Agent FOUND
103580  /opt/apache-tomcat-8.0.23/bin/.Rape: Unix.Trojan.Elknot-1 FOUND
8781  /tmp/udp25111: Linux.Trojan.Agent FOUND

似乎我有一个后门木马，被黑客占领作为一个ddos设备。我看到这篇文章描述了与我遇到的http://news.drweb.com/?i=5801&c=5&lng=en&p=0完全相同的事情

如何删除特洛伊木马并检索受影响的实用程序？

Answer 1

有一些一般的事件反应程序，你真的应该遵循：

• 断开连接
• 评量
• 更改安全信息
• 修复
• 规格化
• 分析

断开：

只要你是网络连接，这些木马可能会继续接触到C&C服务器，并提出新的坏处。

评估：

弄清楚到底发生了什么。也许您的网络中的其他系统也会受到影响。

更改安全信息：

您必须假定您在此服务器上拥有的任何安全信息都已被破坏。这意味着服务器上的任何密码、证书、令牌等都应该更改、撤销或以其他方式变得不受信任。

修正：

通常不值得移除特洛伊木马。在许多情况下，现代恶意软件对删除尝试具有极强的弹性。重新生成系统或从备份还原。如果从备份中恢复，请确保在还原完成后立即进行扫描--如果有必要，请进一步回滚。

我不能立即找到很多信息，删除两个特洛伊木马识别在你的扫描结果。我有点担心。我强烈建议从头开始构建，而不是删除特洛伊木马。

正常化：

重新连接到网络，确保一切正常运行。

分析：

你是怎么得到特洛伊木马的？有人做错什么了吗？你能强化防火墙规则，安全策略，更新软件等来提高你的前进姿态吗？

Answer 2

我建议彻底摧毁服务器硬件并从头开始重建。

黑客越好，你实际移除恶意软件的机会就越小。一些坏的角色可能会破坏服务器的固件。除非您能够隔离您实际受到攻击的点，否则恶意软件也很容易出现在您的所有备份中，除非您已经验证了入侵前的图像。

服务器很便宜，只需购买新的硬件，并锁定更好的盒子。