Arch 的官方儲存庫的可信度如何?
我有一台安裝了 Arch Linux 的伺服器,由於某種原因,它在一段時間不活動後被感染。我重新安裝,一段時間不活動,它再次被感染。每次我重新安裝伺服器時,我都會執行一個腳本,該腳本還會安裝以下內容:
用吃豆子
- 核心/GCC
- 額外/nginx
- 額外/python-pip
- 額外/python-django
- 額外/postgresql
- 社區/python-psycopg2
- 社區/nodejs
- 社區/npm
帶點
- uwsgi
是否有可能,在我安裝其中一個之後,我的伺服器會因此而被感染?現在已經發生了大約4次。伺服器安裝由我完全信任的提供商完成(他們託管我的其他伺服器並且從未出現過問題)。
另一種可能性可能是有人通過我的 root 登錄獲得了對我伺服器的訪問權限,這似乎是不可能的,因為我每次登錄時總是檢查“最後一次登錄”,而且始終是我(我每次登錄時都會記下)。
一段時間後,伺服器開始 大型 DDoS 攻擊
我得到的很多回應是“重新安裝伺服器,別無選擇”。這就是我卡住的地方,因為我已經做過很多次了,而且我覺得我的提供商真的厭倦了我“帶著這個 DDoS 攻擊回來”。
首先,我們需要知道這是什麼感染(至少以一般的方式)。這有助於我們了解它自身的儲存位置以及它的功能。如果沒有這些資訊,我可以根據最常見和最可能的情況為您提供一些一般性建議。
Arch 的 repos 非常值得信賴。這是另一個問題。
在您的過程中,您沒有提到至少在磁碟的開頭進行消隱。許多 rootkit 將自己儲存在磁碟的開頭,因此它們在引導時由 BIOS 或引導載入程序載入。這對於驅動程序注入很有用,對於 DDoS 攻擊等簡單的事情特別有用。
此程式碼也不會隨著作業系統的重新安裝而消失,並且會一直保留在那裡,直到您將其準確儲存的位置留空(它始終位於驅動器的開頭 - 因此可以在啟動時載入它)。
使用“dd”或類似的東西將零寫入驅動器或陣列。如果您願意,可以將整個內容空白,但第一個 MB 是您真正需要的。
還要確保您沒有任何其他儲存設備連接到此系統(例如快閃記憶體驅動器)。除此之外,檢查網路上的其他機器。你可能有一些東西可以自動遍歷你的網路,但這些東西非常罕見,你很可能會在其他地方看到它(假設你檢查了這些東西)。
最後,如果您使用的是 squid 等記憶體代理,請檢查該機器。它可能記憶體了一些討厭的東西。