Centos5 /tmp/.xzibit 在clamav中顯示多個病毒,我可以安全刪除這個目錄嗎?
可能重複:
我對我的整個 vps 進行了掃描,發現上面有大量病毒的文件夾。我可以安全地刪除這個文件夾嗎?我可以通過 ssh 還是有辦法通過命令行來完成?
具體結果:
/tmp/.xzibit/new64: UNIX.Exploit.CVE_2010_3301-2 FOUND /tmp/.xzibit/c/robert_you_suck.c: UNIX.Exploit.CVE_2010_3301-1 FOUND /tmp/.xzibit/ab: UNIX.Exploit.CVE_2010_3301-1 FOUND /tmp/.xzibit/3/ptrace: Linux.RST.B-1 FOUND /tmp/.xzibit/3/ptrace24: Linux.Rst.A FOUND /tmp/.xzibit/3/elf: Exploit.Linux.Race.C FOUND /tmp/.xzibit/3/brk: Linux.Brk.B FOUND /tmp/.xzibit/3/90: Linux.Osf.3974 FOUND /tmp/.xzibit/3/ex: Linux.RST.B-1 FOUND /tmp/.xzibit/3/x: Linux.RST.B-1 FOUND /tmp/.xzibit/3/ee: Linux.RST.B-1 FOUND /tmp/.xzibit/3/nc: Linux.Rst.A FOUND /tmp/.xzibit/3/e2: Linux.RST.B-1 FOUND /tmp/.xzibit/3/uselib24: Exploit.Linux.Race.C FOUND /tmp/.xzibit/1/32/therebel/exploit.c: Exploit.Linux-2 FOUND /tmp/.xzibit/01: UNIX.Exploit.CVE_2010_3301-2 FOUND添加資訊: 我注意到過去有關此問題的網站已被掃描和清理。這是我第一次決定掃描所有內容,而不僅僅是網路目錄。這是唯一出現的事情,這會讓我相信這是我之前錯過的剩餘垃圾,並且來自其中一個站點(因為它仍然只卡在 tmp 目錄中)。這是準確的假設嗎?
注意:您應該立即就您的問題諮詢 Linux 系統安全專家,因為您的系統可能會受到威脅。
這看起來像您的系統可能以某種方式受到損害。
所描述的文件夾將自己呈現為 Linux“點文件”。“點文件”通常用於儲存程序的配置數據,但是,正如您在結果中看到的那樣,該文件夾中已放置了幾個 C 程序,這也不是一個好兆頭。
您可以嘗試 Rootkit Hunter ( http://rkhunter.sourceforge.net/ ) 來查看是否存在任何 Rootkit。
如果您的 VPS 在共享伺服器/託管服務上,您應該聯繫您的託管服務提供商。
如果它確實是病毒/rootkit/後門,並且您可以將其從系統中刪除,如果您不確定係統的安全性,您可能還需要考慮更改密碼。
您可能會刪除這些文件,但如果它們已成功利用您的系統,這可能無法解決問題。
關於 /tmp/,使用以下作為決定是否刪除文件的指南:
“此目錄主要包含臨時需要的文件。許多程序使用它來創建鎖定文件和臨時儲存數據。除非您確切知道自己在做什麼,否則不要從該目錄中刪除文件!其中許多文件對於目前很重要執行程序並刪除它們可能會導致系統崩潰。通常它不會超過幾 KB。在大多數係統上,該目錄在本地系統啟動或關閉時會被清除。其基礎是歷史先例和常見做法。但是,由於系統管理不在 FSSTND 的範圍內,因此沒有提出要求。因此,人員和程序不得假定 /tmp 中的任何文件或目錄在程序呼叫之間保留。這背後的原因是為了符合 IEEE 標準 P1003.2(POSIX,第 2 部分)。”
來源:http ://www.tldp.org/LDP/Linux-Filesystem-Hierarchy/html/tmp.html
刪除該目錄中的所有文件/文件夾 rm -rf /tmp/.xzibit
請記住,您的系統可能仍會以您沒有工具檢測的方式受到損害。
編輯:請參閱 Michael Hampton 對您的問題的評論回复,以獲取有關進一步行動方案的建議。