URL: https://linuxfr.org/forums/linux-debian-ubuntu/posts/suppression-d-un-malware Title: Suppression d'un malware Authors: matthieu bollot Date: 2017年04月04日T19:09:06+02:00 License: CC By-SA Tags: selinux Score: 7 Bonjour, Un serveur d'un client a reçu la visite d'un malware :-/ J'ai vu quelqu'un se connecter en root donc j'ai tout de suite supprimé la connexion root dans ssh j'ai retrouvé sa clé public dans les authorized_keys donc je l'ai mise de côté il écoute sur le port 17 donc j'ai rajouté une règle iptables sur ce port il semble qu'il ddos deux ip en chine, j'ai rajouté une règle iptables en sortant vers ces deux ip Dans les process qui tournent, il y a /etc/dockera dans /etc/init.d il a rajouté selinux et DbSecuritySpt il a aussi remplacé /bin/ps et /bin/netstat dans /usr/bin il a créé/modifié .sshd et lsof J'ai essayé de : update-rc.d selinux disable update-rc.d selinux DbSecuritySpt rm /etc/dockera kill -9 $dockeraPID apt-get install --reinstall net-tools apt-get install --reinstall procps mais je dois mal me débrouiller ou il manque quelque chose car il revient toujours et se réinstall complètement :( Et dans la crontab je n'ai rien vu. J'ai plusieurs questions : Comment me débarrasser de ce truc ? Qu'est-ce que je n'ai pas pensé à regarder suite à l'infection qui pourrait être compromettant ? Est-ce que pour le moment je suis safe en attendant de réinstaller la machine ? Merci

AltStyle によって変換されたページ (->オリジナル) /