最新的backtrack5(bt5)官方网站已经提供下载,backtrack5是基于ubuntu Lucid LTS. 内核2.6.38开发的,完全开源并和GPL兼容。

Backtrack 中文网

 找回密码
 立即注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

搜索
查看: 500|回复: 4

[求助] 公司内网Linux服务器中了挖矿病毒,该如何分析并清除

[复制链接]
钟离颖秀
柔盛
求助:
在我们的局域网中其中一台Linux服务器,IP:192.168.34.x,能ping通外网。前两天登录这个服务器,发现/var/log莫名其妙的被人删除了。继续追查了一下,发现是中了挖矿病毒。虽然及时清理掉了,但是我们局域网中其他机器也有这个病毒;在修改了这台服务器的密码后,发现了大量的ARP攻击日志,攻击源也是我们一台服务器(Windows)。但是登录上去后,没发现什么可疑的进程。求助各位大神:1. 病毒是如何通过了我们公司的路由器、防火墙,进入内网的呢?2. 有没有办法查出源头在哪呢?源头即第一台中毒的机器。【说明:这是我们内网第三次中这个病毒了。】
+1
504°C
4
  • 这是谁家猪
  • adminisss
  • 这是谁家猪
  • TTZZ
过: 他们
淑雨
法和玉
大神大神快来看看啊
彦锦
璇彩
ARP 攻击,?应该是内网有机器中招了!ARP攻击是低门槛攻击,路由器设置了防ARP攻击了吗? IP跟MAC地址绑定!DMZ 设置了吗?如果公司条件允许的话,你可以把局域网各个工位,设置成互相ping 不通!至于挖矿病毒,如果可以 上报公司,直接报警吧!
我也不太懂,我的个人之见,估计还没你有知识!
如果没有帮到你,请你嘴下留情,别嘲笑我!我水平有限!
弱弱的问一句什么公司啊?还用服务器?现在不都是托管给 阿里 腾讯,华为了吗?
钟离晓慧
媛俊
adminisss 发表于 2019-1-18 10:28
ARP 攻击,?应该是内网有机器中招了!ARP攻击是低门槛攻击,路由器设置了防ARP攻击了吗? IP跟MAC地址绑定 ...

我们做存储的,用的自己的服务器。挖矿病毒我查出来后通知信息化部门和我们部门,告诉同事手动清除方法了。但是清除后,发现还是有机器在大量尝试ssh登录,而且有ARP攻击。不知道源头在哪里.当时也查了发起ARP的机器了,但是上面也没发现啥可疑进程。现在难的是不知道病毒是怎么绕过公司防火墙进来的。
速鸿云
家枫
是不是有人使用过带病毒的软件,造成那台电脑被开了后门?
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

BackTrack是一套专业的计算机安全检测的Linux操作系统,简称BT。BackTrack 是一个基于Ubuntu GNU/Linux的发行版本,主要用做数字取证和入侵测试。它的名字引用自回溯法(backtracking)。BackTrack 给用户提供了大量功能强大但简单易用的安全工具软件。BackTrack还支持Live CD和Live USB启动方式,用户可以直接从移动介质启动该系统而不用将系统安装在硬盘上。BackTrack被设计成一体化的旨在安全审计用的livecd,曾经它是被最广泛采用的渗透测试框架并被世界各地的安全社区所使用。现在,BackTrack已被Kali Linux所代替,BT将不再维护。
快速回复 返回顶部 返回列表