Linux のウィルス、削除できない不思議

前のサーバーに、あるプログラムをインストールしたらウィルスも入ってしまった。
/boot/
/etc/rc.d/
に、消しても消してもすぐに新しいファイル(英字10文字ランダム)が作成されるようなしくみ。
変なプロセスがいっぱい走る。
過負荷になる。
自力で削除駆除できなかったウイルスは初めて。
初期化するしかないのか?

これと同じ症状。

[tor-relays] My VPS relay has just been hacked

ps axuf すると、一体誰がこんなコマンドを打っているのかわからない。

---

root      8920 12.1  0.0 264352   896 ?        Ssl  09:54  27:22 gnome-terminal

root     14297  0.0  0.0 100972   600 ?        S    13:00   0:00 /usr/lib64/sa/sadc -F -L -S DISK 600 6 -

root     22725  0.0  0.0   6280   532 ?        Ss   13:39   0:00 cat resolv.conf

root     22728  0.0  0.0   6280   528 ?        Ss   13:39   0:00 netstat -an

root     22729  0.0  0.0   6280   532 ?        Ss   13:39   0:00 netstat -an

root     22732  0.0  0.0   6280   528 ?        Ss   13:39   0:00 ifconfig eth0

root     22734  0.0  0.0   6280   532 ?        Ss   13:39   0:00 ps -ef

root     22741  0.0  0.0   6280   532 ?        Ss   13:39   0:00 sleep 1

root     22744  0.0  0.0   6280   528 ?        Ss   13:39   0:00 route -n

root     22747  0.0  0.0   6280   528 ?        Ss   13:39   0:00 whoami

root     22749  0.0  0.0   6280   532 ?        Ss   13:39   0:00 sh

root     22750  0.0  0.0   6280   532 ?        Ss   13:39   0:00 sleep 1

root     14297  0.0  0.0 100972   624 ?        S    13:00   0:00 /usr/lib64/sa/sadc -F -L -S DISK 600 6 -

root     23147  0.0  0.0 168084   632 ?        Ssl  13:41   0:00 netstat -an

root     23184  0.0  0.0   6280   528 ?        Ss   13:41   0:00 sh

root     23185  0.0  0.0   6280   532 ?        Ss   13:41   0:00 netstat -antop

root     23190  0.0  0.0   6280   532 ?        Ss   13:41   0:00 grep "A"

root     23191  0.0  0.0   6280   528 ?        Ss   13:41   0:00 cat resolv.conf

root     23193  0.0  0.0   6280   528 ?        Ss   13:41   0:00 who

---
lsof -p **** してみると、外部アドレスと接続されていることがわかる。

# lsof -p  ****
root@s8:~# lsof -i :8002
COMMAND     PID USER   FD   TYPE    DEVICE SIZE/OFF NODE NAME
kypqiyshj 11079 root    3u  IPv4 814329202      0t0  TCP s8.myserver***.net:44013->103.25.9.245:teradataordbms (SYN_SENT)

  • 目次1 GCPからGCPへの移転方法2 プロジェクトの共有3 設定情報のコピー4 失敗したこと GCPからGCPへの移転方法AWS, Azure 等の他のクラウドサーバーからGCP(Google Cloud Platform)に移転する方法はよく論じられているが、GCPのAアカウントからBアカウントに移転するにはどうしたらよいのだろうか? Compute Engine のVMインスタンスを、他のGCP アカウントのCompute Engine に移転又はコピーするにはどうしたらよいのだろうか? プロジェクトの共有 試行錯誤の上、たどり着いたのがプロジェクトの共有であった。GCPのトップページ、ダッシュボードの最初にプロジェクト情報のカードがあり、其の中に「この...
  • Kusanagi WordPress プラットフォームでは Fcache とBcache がある。 Fcache とはNginx ヱブサーバーのキャッシュ機能であり、Kusanagi の独自機能ではない。Nginx のアクセスログを眺めていると、  BYPASS MISS EXPIRED のみで、HITが殆どない。 トップ頁、アーカイブリストの頁ではHIT、 個別投稿頁では、BYPASS MISS EXPIRED ばかりでHITがない。Kusanagi fcache on とすると、fcache は有効になったかのように思えるが、本当にキャッシュが効いているのかどうかはログで確認しないとわからない。まず、Wordpressの編集画面にログインし...
  • 目次1 HTTPD アクセスログの日本語化2 Logwatch も日本語化 HTTPD アクセスログの日本語化 Nginx,  Apache ヱブサーバーのアクセスログを見ると、日本語URLはエンコードされていて読めない。 そこで、デコードして表示させる。 ログのファイル名が ssl_access.log だとすると、tail -f ssl_access.log| perl -ne 'use URI::Escape; print uri_unescape($_);' tail -f access.log | php -R 'echo urldecode($argn)."\n";'で、日本語URlが読める状態で出力される。 Apa...
  • Google Cloud Platform のGoogle Compute Engine のインスタンスを標準のHDD ハードディスクで作成してしまった。 その後、SSDに変更したい場合はどうすればよいか?まず、インスタンスのスナップショットを作成する。「VM インスタンスの詳細」をクリック表示すると、 「同様のものを作成」というメニュー項目が出るのでクリックする。その際に、HDDではなく、「新しい 50 GB の SSD 永続ディスク 」を選択して同様のインスタンスを作成する。 そうすると、ファイヤーウォールの設定などはそのままコピーされているので再設定しなおさなくてよい。 新インスタンスが作成され、起動している状態になる。唯...
  • Google Cloud Platform上の コンピュートエンジンのインスタンス、LinuxサーバーをWebmin から、約60のソフトウェアのアップデートをしようとしたら、新カーネルのインストールに失敗。 理由は、/boot のディスク容量不足。 そこでSSHでログインし、 /boot にあったファイルを一覧する。dr-xr-xr-x. 6 root root 4096 5月 8 11:20 . dr-xr-xr-x. 20 root root 4096 4月 22 21:39 .. -rw-r--r-- 1 root root 171 8月 15 2018 .vmlinuz-3.10.0-862.11.6.el7.x86_64.hmac -rw-r--r-- 1 roo...
  • VirtualBox を 5.2.22 にアップグレードしたからか、 突然、vagrant up しても起動しなくなった。 SSH auth method: private key のところで止まる。 ホストOS が Fedora Linux でも Windows でも同じ症状だった。$ vagrant up Bringing machine 'default' up with 'virtualbox' provider... ==> default: Checking if box 'yuya_tajima/kusanagi' is up to date... ==> default: Clearing any previously set forwarded ...
  • Mediawiki に Extension:Scribunto を追加する。Wikipedia:Lua - Wikipediaja.wikipedia.org下の方に、 We have developed a PHP extension written in C called LuaSandbox. It can be used as an alternative to the standalone binary, and will provide improved performance. See LuaSandbox for details and insta...
  • 既存の Kusanagi の Nginx にGoogle の PageSpeed モジュールを追加してみた。 PageSpeed Module | Google DevelopersThe PageSpeed modules are open-source server modules that optimize your site automatically.Google Developers 目次1 PageSpeed Nginx の作成+設置方法2 設定ファイルの編集3 背景画像が表示されていない時4 使用停止 Pag...

Linux カテゴリ人気記事 Views most

Linux・サーバー カテゴリ人気記事 月間

タグ関連記事

閲覧履歴

    //cookieが無い場合の処理