VestaCP, das von dieser Site empfohlene Web-Verwaltungspanel, ist anfällig für Sicherheitslücken. Hier finden Sie die Methoden zur Erkennung und Entfernung.

Alle Befehle werden unter SSH ausgeführt:
1. Stellen Sie zunächst fest, ob es gehackt wurde.

 find /etc -name gcc.sh -print

Wenn /etc/cron.hourly/gcc.sh angezeigt wird, bedeutet dies, dass ein Trojaner eingeschleust wurde.

2. Wenn ein Trojaner installiert ist, sichern Sie alle Daten

3. Blockieren Sie gcc.sh

 chmod 0 /etc/cron.hourly/gcc.sh; chattr +ia /etc/cron.hourly/gcc.sh; chattr +i /etc/crontab

4. Suchen Sie den Trojaner. Es gibt zwei Versionen: Eine heißt Update und die zweite (Update) hat einen zufällig generierten Namen (z. B. ahzihydns, rangqpbjp).
a. Mit lsof Update-Trojaner finden

lsof -n |grep /tmp/update

 update 31116 root txt REG 253,2 625611 146301 /tmp/update update 31116 31124 root txt REG 253,2 625611 146301 /tmp/update update 31116 31125 root txt REG 253,2 625611 146301 /tmp/update update 31116 31126 root txt REG 253,2 625611 146301 /tmp/update

Ähnlich wie Update, hindere sie daran, die Stadt zu betreten

 kill -STOP 31116

Dann löschen Sie sie

 rm /tmp/update

Töte sie endlich

 kill -9 31116

Wenn /etc/init.d/update vorhanden ist, löschen Sie es.
Löschen Sie abschließend /lib/libudev.so

 rm /lib/libudev.so

b. Das Löschen zufälliger Trojaner ist schwieriger. Überprüfen Sie zunächst, ob sich in usr/bin ein Prozess befindet.

 # ls -lt /usr/bin | head -20 итого 171828 -rwxr-xr-x 1 root root 625622 апр 4 00:01 xmpwotmqnr -rwxr-xr-x 1 root admin 625633 апр 3 23:55 lluoohrpal [...]

Versuchen wir, Prozesse wie diesen zu stoppen und zu löschen.

 kill -STOP `lsof -n | egrep "625622|625633" | grep -v deleted| awk '{print $2}' | uniq`

Zeigen Sie die Liste der zu löschenden Dateien an:

 # lsof -n | egrep "625622|625633" xmpwotmqn 1120 root txt REG 253,2 625622 1519267 /usr/bin/xmpwotmqnr xmpwotmqn 1120 1169 root txt REG 253,2 625622 1519267 /usr/bin/xmpwotmqnr xmpwotmqn 1120 1170 root txt REG 253,2 625622 1519267 /usr/bin/xmpwotmqnr xmpwotmqn 1120 1171 root txt REG 253,2 625622 1519267 /usr/bin/xmpwotmqnr

Löschen Sie /usr/bin/xmpwotmqnr, /usr/bin/lluoohrpal und /lib/libudev.so.
Stoppen Sie zunächst den vorherigen Vorgang:

 kill -9 `lsof -n | egrep "625622|625633" | awk '{print $2}' | uniq`

Überprüfen Sie, ob in /etc/init.d noch Schadcode vorhanden ist. Zum Beispiel:

 -rwxr-xr-x 1 root admin 323 апр 3 23:55 xbzrqmaaqo -rwxr-xr-x 1 root admin 323 апр 3 23:55 xdphzejxlx -rwxr-xr-x 1 root admin 323 апр 3 23:55 xdzluubldx

Wenn es viele solcher Dateien gibt, können Sie sie über „Suchen“ finden und dann löschen

 find /etc/init.d/ -type f -size 323c -delete -rwxr-xr-x 1 root admin 323 апр 3 23:55 xgqggmacwf -rwxr-xr-x 1 root root 323 апр 8 13:50 xmpwotmqnr

5. Verwenden Sie Clamav zur Überprüfung
Installieren Sie clamav auf Centos

 yum install clamav

Installieren Sie clamav unter Debian/Ubuntu

 apt-get install clamav

Starten Sie dann den Scanvorgang
clamscan -r -i /

6. Schließlich wird empfohlen, die angegebene IP als Anmelde-IP zu verwenden.

über: https://itldc.com/blog/vozmozhnaya-uyazvimost-v-vesta-i-sposob-lecheniya-ot-trojan-ddos_xor/