Как избавиться от вируса на VPS?

[baboon]

Получил от хостера письмо: "На вашем сервере была замечена активность, программ перебирающих пароль по ssh, почистите сервер или мы его заблокируем".

В Unix'e я абсолютно безграмотен, а суппорт не собирается даже советом помочь, ихнее дело впарить, а не консультировать, как я понял.

На данный момент нашел юниксовый антивирус Panda, с расширением *.rpm. Залил его на сервер, а вот что дальше делать никак не пойму

Если не сложно, подскажите, пожалуйста, пошагово, для полного нуба, как запустить этот антивирь, имея доступ к ssh, и что делать дальше?

Заранее спасибо!

 

[Tele2]

Попробуй ClamAv.

Добавлено через 1 минуту

На данный момент нашел юниксовый антивирус Panda, с расширением *.rpm. Залил его на сервер, а вот что дальше делать никак не пойму

Если федора или ей подобная система rpm -i panda(.*).rpm

 

[Justrunme]

Получил от хостера письмо: "На вашем сервере была замечена активность, программ перебирающих пароль по ssh, почистите сервер или мы его заблокируем".

В Unix'e я абсолютно безграмотен, а суппорт не собирается даже советом помочь, ихнее дело впарить, а не консультировать, как я понял.

На данный момент нашел юниксовый антивирус Panda, с расширением *.rpm. Залил его на сервер, а вот что дальше делать никак не пойму

Если не сложно, подскажите, пожалуйста, пошагово, для полного нуба, как запустить этот антивирь, имея доступ к ssh, и что делать дальше?

Заранее спасибо!

Можно без добавлений использовать встроенные функции (фаервол). Поставить запрет на порты, в зависимости от вида сервера: почтовый, вэб, терминальный и т.д. Это пожалуй самое быстрое решение проблемы... А антивирус нужен по-любому

 

[baboon]

Огромное спасибо, благодаря вашим советам удалось найти 11 вирусов и удалить 10 из них. Но вот последний вцепился крепко:

/home/../var/tmp/ /a/ssh
Found virus :Linux/Rst.A
-Disinfect/Rename/Erase/Ignore? (D/R/E/I) d
Virus could not be disinfected
-Rename/Erase/Ignore? (R/E/I) e
File could not be deleted

Не полечить, не удалить, переименовать тоже не вышло. Можно ли как-то справится с ним?

 

[psknnn]

он в активных процесах значит висит, убей его

 

[unsiker]

Можно ли как-то справится с ним?

нужно посмотреть какой процес его держит ... либо права на файл ... зайти под рутом и попробовать его удалить если не удается то убить процес командой kill и после этого удалять

 

[baboon]

Посмотрел процессы, ничего не понял - опять сказывается мое нубство (

Думал эти:
apache 13907 936 16 ? T Feb23 0:00 ./ssh 270
apache 13909 0 0 ? Z Feb23 0:00 \_ [ssh] <defunct>

но они сразу же опять появляются после килла.

В proc_list.txt список всех текущих процессов. Подскажите, пожалуйста, который из них искомый?

 

[antiadmin]

Останови полностью апач, если эти 2 процесса не остановятся, значит это они

 

[spawn_610]

заблочить фаером удалённый 22 порт

 

[r00t]

Установи rkhunter и chkrootkit и проверяй систему.