这是一个创建于 2973 天前的主题,其中的信息可能已经有所发展或是发生改变。
实验室服务器被黑,黑客把 /home 目录下面的文件夹全部删掉了,留了一个 READ_ME.txt ( http://pastebin.com/raw/QtP1vN47 ),大意就是文件已经被加密,支付两个 BTC 拿回文件。文件本身并不是很重要,就怕万一系统留下了后门。目前已经用 rkhunter 和 chkrootkit 扫过一遍,但是还不是很放心,有没有办法彻底检查一下?
 |
1
Testalias 2016-09-25 15:57:56 +08:00
重装是最好的办法。
|
 |
2
ifishman 2016-09-25 16:03:35 +08:00 via Android
硬盘拆下来接到另外的电脑上用 16 进制模式充 0 ,还担心就把 bios 重新刷下
|
 |
3
mrsatangel OP @Testalias 明白。
|
|
4
mrsatangel OP @ifishman 5 块 8T 的硬盘这得填多久
|
|
5
ifishman 2016-09-25 16:12:04 +08:00 via Android
@mrsatangel 可以只填充硬盘头
|
 |
7
jhaohai 2016-09-25 17:14:56 +08:00 via iPhone
把磁盘重新分区格式化一下就行了
|
|
8
ifishman 2016-09-25 17:32:43 +08:00 via Android
@9hills 记忆中快速格式化是不会修改引导信息的,而有些恶意软件就存在于里面,并且快速格式化只是改了分区表信息,实质上数据还是在那里,不知道我说的对不对,求大神求证下
|
 |
9
kmahyyg 2016-09-25 18:34:33 +08:00 via Android
sudo rm -rf --no-preserve-root / 逃......
|
 |
10
q397064399 2016-09-25 18:57:36 +08:00
@ifishman 所有的文件数据都是放在索引里面,索引没了,文件数据就变成一堆 01010101 了。下次你弄个新的分区,这些索引不见了,自然文件也就不存在了,我目前没有看到能从硬盘上一堆 10101010 自动复活的木马以及计算机病毒。
刷下 bios 倒是有必要 |
|
11
q397064399 2016-09-25 18:58:23 +08:00
@ifishman 引导分区重写一遍 0 就好 那块区域不大
|
 |
12
Lentin 2016-09-25 19:21:11 +08:00 via Android
处理掉二手买新的
|
 |
13
des 2016-09-25 19:24:28 +08:00 via Android
@q397064399 重新分区最简单
|
 |
14
guozixi 2016-09-25 20:13:36 +08:00 via Android
重新分区,重装系统,
修改 ssh 默认端口,做好防范避免再中招 |
 |
15
billlee 2016-09-25 22:08:42 +08:00
dd if=/dev/zero of=硬盘 bs=512 count=64
|
 |
16
msg7086 2016-09-25 22:35:32 +08:00
@ifishman 格式化不会修改分区表。
清除 MBR 需要直接在前 63 扇区上涂改。 一般这种情况下,清掉前 2048 扇区和尾部的 100 个扇区就足够了,可以同时应对 GPT 和 MBR 的情况。 然后再重新分区装系统即可。 @q397064399 刷 BIOS 没必要。 |
 |
17
hx1997 2016-09-25 23:02:01 +08:00 via Android
参见:/t/302088
|
 |
18
lizon 2016-09-26 22:55:01 +08:00
1.具体查一下到底是什么原因被黑,洞在什么地方
2.重装系统,保险起见引导区也刷一遍 3.补洞,防火墙配置好,只留必要端口 其实只开放必要端口,保证端口后面的服务进程没有漏洞,服务进程权限降到尽可能低,就没有什么安全问题 有安全问题也是系统级的,等着打补丁 |
Select Language