V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
mrsatangel
V2EX  ›  Linux

如何清除服务器中的勒索软件

  •  
  •   mrsatangel · 2016-09-25 15:56:00 +08:00 · 3727 次点击
    这是一个创建于 3010 天前的主题,其中的信息可能已经有所发展或是发生改变。
    实验室服务器被黑,黑客把 /home 目录下面的文件夹全部删掉了,留了一个 READ_ME.txt ( http://pastebin.com/raw/QtP1vN47 ),大意就是文件已经被加密,支付两个 BTC 拿回文件。文件本身并不是很重要,就怕万一系统留下了后门。目前已经用 rkhunter 和 chkrootkit 扫过一遍,但是还不是很放心,有没有办法彻底检查一下?
    18 条回复    2016-09-26 22:55:01 +08:00
    Testalias
        1
    Testalias  
       2016-09-25 15:57:56 +08:00
    重装是最好的办法。
    ifishman
        2
    ifishman  
       2016-09-25 16:03:35 +08:00 via Android
    硬盘拆下来接到另外的电脑上用 16 进制模式充 0 ,还担心就把 bios 重新刷下
    mrsatangel
        3
    mrsatangel  
    OP
       2016-09-25 16:07:06 +08:00
    @Testalias 明白。
    mrsatangel
        4
    mrsatangel  
    OP
       2016-09-25 16:08:50 +08:00
    @ifishman 5 块 8T 的硬盘这得填多久
    ifishman
        5
    ifishman  
       2016-09-25 16:12:04 +08:00 via Android
    @mrsatangel 可以只填充硬盘头
    9hills
        6
    9hills  
       2016-09-25 16:39:13 +08:00 via iPhone
    @ifishman 快速格式化下不就成了,难道木马还能蹦出来?
    jhaohai
        7
    jhaohai  
       2016-09-25 17:14:56 +08:00 via iPhone
    把磁盘重新分区格式化一下就行了
    ifishman
        8
    ifishman  
       2016-09-25 17:32:43 +08:00 via Android
    @9hills 记忆中快速格式化是不会修改引导信息的,而有些恶意软件就存在于里面,并且快速格式化只是改了分区表信息,实质上数据还是在那里,不知道我说的对不对,求大神求证下
    kmahyyg
        9
    kmahyyg  
       2016-09-25 18:34:33 +08:00 via Android
    sudo rm -rf --no-preserve-root / 逃......
    q397064399
        10
    q397064399  
       2016-09-25 18:57:36 +08:00
    @ifishman 所有的文件数据都是放在索引里面,索引没了,文件数据就变成一堆 01010101 了。下次你弄个新的分区,这些索引不见了,自然文件也就不存在了,我目前没有看到能从硬盘上一堆 10101010 自动复活的木马以及计算机病毒。
    刷下 bios 倒是有必要
    q397064399
        11
    q397064399  
       2016-09-25 18:58:23 +08:00
    @ifishman 引导分区重写一遍 0 就好 那块区域不大
    Lentin
        12
    Lentin  
       2016-09-25 19:21:11 +08:00 via Android
    处理掉二手买新的
    des
        13
    des  
       2016-09-25 19:24:28 +08:00 via Android
    @q397064399 重新分区最简单
    guozixi
        14
    guozixi  
       2016-09-25 20:13:36 +08:00 via Android
    重新分区,重装系统,
    修改 ssh 默认端口,做好防范避免再中招
    billlee
        15
    billlee  
       2016-09-25 22:08:42 +08:00
    dd if=/dev/zero of=硬盘 bs=512 count=64
    msg7086
        16
    msg7086  
       2016-09-25 22:35:32 +08:00
    @ifishman 格式化不会修改分区表。
    清除 MBR 需要直接在前 63 扇区上涂改。
    一般这种情况下,清掉前 2048 扇区和尾部的 100 个扇区就足够了,可以同时应对 GPT 和 MBR 的情况。
    然后再重新分区装系统即可。

    @q397064399 刷 BIOS 没必要。
    hx1997
        17
    hx1997  
       2016-09-25 23:02:01 +08:00 via Android
    参见:/t/302088
    lizon
        18
    lizon  
       2016-09-26 22:55:01 +08:00
    1.具体查一下到底是什么原因被黑,洞在什么地方
    2.重装系统,保险起见引导区也刷一遍
    3.补洞,防火墙配置好,只留必要端口

    其实只开放必要端口,保证端口后面的服务进程没有漏洞,服务进程权限降到尽可能低,就没有什么安全问题
    有安全问题也是系统级的,等着打补丁
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5459 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 07:34 · PVG 15:34 · LAX 23:34 · JFK 02:34
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.