1,383

Linux のウィルス、削除できない不思議

Linux

前のサーバーに、あるプログラムをインストールしたらウィルスも入ってしまった。
/boot/
/etc/rc.d/
に、消しても消してもすぐに新しいファイル(英字10文字ランダム)が作成されるようなしくみ。
変なプロセスがいっぱい走る。
過負荷になる。
自力で削除駆除できなかったウイルスは初めて。
初期化するしかないのか?

これと同じ症状。

[tor-relays] My VPS relay has just been hacked

ps axuf すると、一体誰がこんなコマンドを打っているのかわからない。

---

root      8920 12.1  0.0 264352   896 ?        Ssl  09:54  27:22 gnome-terminal

root     14297  0.0  0.0 100972   600 ?        S    13:00   0:00 /usr/lib64/sa/sadc -F -L -S DISK 600 6 -

root     22725  0.0  0.0   6280   532 ?        Ss   13:39   0:00 cat resolv.conf

root     22728  0.0  0.0   6280   528 ?        Ss   13:39   0:00 netstat -an

root     22729  0.0  0.0   6280   532 ?        Ss   13:39   0:00 netstat -an

root     22732  0.0  0.0   6280   528 ?        Ss   13:39   0:00 ifconfig eth0

root     22734  0.0  0.0   6280   532 ?        Ss   13:39   0:00 ps -ef

root     22741  0.0  0.0   6280   532 ?        Ss   13:39   0:00 sleep 1

root     22744  0.0  0.0   6280   528 ?        Ss   13:39   0:00 route -n

root     22747  0.0  0.0   6280   528 ?        Ss   13:39   0:00 whoami

root     22749  0.0  0.0   6280   532 ?        Ss   13:39   0:00 sh

root     22750  0.0  0.0   6280   532 ?        Ss   13:39   0:00 sleep 1

root     14297  0.0  0.0 100972   624 ?        S    13:00   0:00 /usr/lib64/sa/sadc -F -L -S DISK 600 6 -

root     23147  0.0  0.0 168084   632 ?        Ssl  13:41   0:00 netstat -an

root     23184  0.0  0.0   6280   528 ?        Ss   13:41   0:00 sh

root     23185  0.0  0.0   6280   532 ?        Ss   13:41   0:00 netstat -antop

root     23190  0.0  0.0   6280   532 ?        Ss   13:41   0:00 grep "A"

root     23191  0.0  0.0   6280   528 ?        Ss   13:41   0:00 cat resolv.conf

root     23193  0.0  0.0   6280   528 ?        Ss   13:41   0:00 who

---
lsof -p **** してみると、外部アドレスと接続されていることがわかる。

# lsof -p  ****
root@s8:~# lsof -i :8002
COMMAND     PID USER   FD   TYPE    DEVICE SIZE/OFF NODE NAME
kypqiyshj 11079 root    3u  IPv4 814329202      0t0  TCP s8.myserver***.net:44013->103.25.9.245:teradataordbms (SYN_SENT)

  • 302
    2680年6月24日
    サーバー

    VM インスタンスを他のGCPアカウントに移転コピーする方法

    GCPからGCPへの移転方法AWS, Azure 等の他のクラウドサーバーからGCP(Google Cloud Platform)に移転する方法はよく論じられているが、GCPのAアカウントからBアカウントに移転するにはどうしたらよいのだろうか? Compute Engine のVMインスタンスを、他のGCP アカウントのCompute Engine に移転又はコピーするにはどうしたらよいのだろうか? プロジェクトの共有 試行錯誤の上、たどり着いたのがプロジェクトの共有であった。GCPのトップページ、ダッシュボードの最初にプロジェクト情報のカードがあり、其の中に「このプロジェクトにユーザーを追加」という項目がある。そこをクリックして、他のGCPアカウントのGma...
    ... >> つづき
  • 109
    2679年8月29日
    WordPress

    Nginx の Fcache が効いていない時に効かせる方法

    Kusanagi WordPress プラットフォームでは Fcache とBcache がある。 Fcache とはNginx ヱブサーバーのキャッシュ機能であり、Kusanagi の独自機能ではない。Nginx のアクセスログを眺めていると、  BYPASS MISS EXPIRED のみで、HITが殆どない。 トップ頁、アーカイブリストの頁ではHIT、 個別投稿頁では、BYPASS MISS EXPIRED ばかりでHITがない。Kusanagi fcache on とすると、fcache は有効になったかのように思えるが、本当にキャッシュが効いているのかどうかはログで確認しないとわからない。まず、Wordpressの編集画面にログインし...
    ... >> つづき
  • 268
    2679年8月25日
    WordPress

    httpdアクセスログを日本語デコードする方法

    HTTPD アクセスログの日本語化 Nginx,  Apache ヱブサーバーのアクセスログを見ると、日本語URLはエンコードされていて読めない。 そこで、デコードして表示させる。 ログのファイル名が ssl_access.log だとすると、tail -f ssl_access.log| perl -ne 'use URI::Escape; print uri_unescape($_);' tail -f access.log | php -R 'echo urldecode($argn)."\n";'で、日本語URlが読める状態で出力される。 Apacheのログをデコードする方法 - Life with ITプログラマ x ...
    ... >> つづき
  • 720
    2679年5月20日
    Linux

    GCE でHDDからSSDに移行する方法: Google Cloud Platform

    Google Cloud Platform のGoogle Compute Engine のインスタンスを標準のHDD ハードディスクで作成してしまった。 その後、SSDに変更したい場合はどうすればよいか?まず、インスタンスのスナップショットを作成する。「VM インスタンスの詳細」をクリック表示すると、 「同様のものを作成」というメニュー項目が出るのでクリックする。その際に、HDDではなく、「新しい 50 GB の SSD 永続ディスク 」を選択して同様のインスタンスを作成する。 そうすると、ファイヤーウォールの設定などはそのままコピーされているので再設定しなおさなくてよい。 新インスタンスが作成され、起動している状態になる。唯...
    ... >> つづき
  • 259
    2679年5月9日
    Linux

    インスタンスが正常に起動しない時には他のインスタンスでディスク修復:GCP

    Google Cloud Platform上の コンピュートエンジンのインスタンス、LinuxサーバーをWebmin から、約60のソフトウェアのアップデートをしようとしたら、新カーネルのインストールに失敗。 理由は、/boot のディスク容量不足。 そこでSSHでログインし、 /boot にあったファイルを一覧する。dr-xr-xr-x. 6 root root 4096 5月 8 11:20 . dr-xr-xr-x. 20 root root 4096 4月 22 21:39 .. -rw-r--r-- 1 root root 171 8月 15 2018 .vmlinuz-3.10.0-862.11.6.el7.x86_64.hmac -rw-r--r-- 1 roo...
    ... >> つづき
  • 2,912
    2678年11月21日
    Linux

    Vagrant up 起動しなくなったらアダプタータイプを変更

    VirtualBox を 5.2.22 にアップグレードしたからか、 突然、vagrant up しても起動しなくなった。 SSH auth method: private key のところで止まる。 ホストOS が Fedora Linux でも Windows でも同じ症状だった。$ vagrant up Bringing machine 'default' up with 'virtualbox' provider... ==> default: Checking if box 'yuya_tajima/kusanagi' is up to date... ==> default: Clearing any previously set forwarded ...
    ... >> つづき
  • 323
    2678年11月19日
    Linux

    Kusanagi-PHP7 に LuaSandbox 拡張モジュールを追加する方法: ヰキ

    Mediawiki に Extension:Scribunto を追加する。Wikipedia:Lua - Wikipediaja.wikipedia.org下の方に、 We have developed a PHP extension written in C called LuaSandbox. It can be used as an alternative to the standalone binary, and will provide improved performance. See LuaSandbox for details and insta...
    ... >> つづき
  • 685
    2678年9月25日
    WordPress

    Kusanagi Nginx に Google PageSpeed を追加する方法

    既存の Kusanagi の Nginx にGoogle の PageSpeed モジュールを追加してみた。 PageSpeed Module | Google DevelopersThe PageSpeed modules are open-source server modules that optimize your site automatically.Google Developers PageSpeed Nginx の作成+設置方法 以下の方法は既にインストールされている nginx に PageSpeed モジ...
    ... >> つづき

Linux カテゴリ人気記事 Views most

タグ関連記事

閲覧履歴