如何清除服务器中的勒索软件

2016-09-25 15:56:00 +08:00
 mrsatangel
实验室服务器被黑,黑客把 /home 目录下面的文件夹全部删掉了,留了一个 READ_ME.txt ( http://pastebin.com/raw/QtP1vN47 ),大意就是文件已经被加密,支付两个 BTC 拿回文件。文件本身并不是很重要,就怕万一系统留下了后门。目前已经用 rkhunter 和 chkrootkit 扫过一遍,但是还不是很放心,有没有办法彻底检查一下?
3608 次点击
所在节点    Linux
18 条回复
Testalias
2016-09-25 15:57:56 +08:00
重装是最好的办法。
ifishman
2016-09-25 16:03:35 +08:00
硬盘拆下来接到另外的电脑上用 16 进制模式充 0 ,还担心就把 bios 重新刷下
mrsatangel
2016-09-25 16:07:06 +08:00
@Testalias 明白。
mrsatangel
2016-09-25 16:08:50 +08:00
@ifishman 5 块 8T 的硬盘这得填多久
ifishman
2016-09-25 16:12:04 +08:00
@mrsatangel 可以只填充硬盘头
9hills
2016-09-25 16:39:13 +08:00
@ifishman 快速格式化下不就成了,难道木马还能蹦出来?
jhaohai
2016-09-25 17:14:56 +08:00
把磁盘重新分区格式化一下就行了
ifishman
2016-09-25 17:32:43 +08:00
@9hills 记忆中快速格式化是不会修改引导信息的,而有些恶意软件就存在于里面,并且快速格式化只是改了分区表信息,实质上数据还是在那里,不知道我说的对不对,求大神求证下
kmahyyg
2016-09-25 18:34:33 +08:00
sudo rm -rf --no-preserve-root / 逃......
q397064399
2016-09-25 18:57:36 +08:00
@ifishman 所有的文件数据都是放在索引里面,索引没了,文件数据就变成一堆 01010101 了。下次你弄个新的分区,这些索引不见了,自然文件也就不存在了,我目前没有看到能从硬盘上一堆 10101010 自动复活的木马以及计算机病毒。
刷下 bios 倒是有必要
q397064399
2016-09-25 18:58:23 +08:00
@ifishman 引导分区重写一遍 0 就好 那块区域不大
Lentin
2016-09-25 19:21:11 +08:00
处理掉二手买新的
des
2016-09-25 19:24:28 +08:00
@q397064399 重新分区最简单
guozixi
2016-09-25 20:13:36 +08:00
重新分区,重装系统,
修改 ssh 默认端口,做好防范避免再中招
billlee
2016-09-25 22:08:42 +08:00
dd if=/dev/zero of=硬盘 bs=512 count=64
msg7086
2016-09-25 22:35:32 +08:00
@ifishman 格式化不会修改分区表。
清除 MBR 需要直接在前 63 扇区上涂改。
一般这种情况下,清掉前 2048 扇区和尾部的 100 个扇区就足够了,可以同时应对 GPT 和 MBR 的情况。
然后再重新分区装系统即可。

@q397064399 刷 BIOS 没必要。
hx1997
2016-09-25 23:02:01 +08:00
参见:/t/302088
lizon
2016-09-26 22:55:01 +08:00
1.具体查一下到底是什么原因被黑,洞在什么地方
2.重装系统,保险起见引导区也刷一遍
3.补洞,防火墙配置好,只留必要端口

其实只开放必要端口,保证端口后面的服务进程没有漏洞,服务进程权限降到尽可能低,就没有什么安全问题
有安全问题也是系统级的,等着打补丁

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/308838

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX