Мне нужна помощь, мой провайдер сервера связался со мной, чтобы сказать, что мой сервер использует пропускную способность 200 Мбит / с. В результате расследования я обнаружил для пользователя процессы, которых здесь не должно быть .. Я обнаружил следующие процессы:
26269 511 Nov27 ./stealth 58.22.68.253 53
775 511 Oct12 ./eggdrop -m botnick.conf
Я знаю, что eggdrop - это IRC, у меня вопрос, где я могу узнать, где было установлено программное обеспечение для этих процессов?
Вы были скомпрометированы. Конечно, вы можете убить процессы.
Начни с бега /sbin/lsof | grep eggdrop
и /sbin/lsof | grep stealth
.
Вы должны увидеть полные пути к исполняемым файлам из этого вывода. Это даст вам место для начала с точки зрения определения каталогов, в которых были установлены боты.
Завершите процессы с этой точки и перейдите к запуску одной из стандартных программ обнаружения руткитов (rkhunter или chkrootkit).
Если у вас есть резервная копия, это хорошее место. Но если нет, вам необходимо определить, как вы были скомпрометированы, и убедиться, что нет ничего, что может повторно запустить вредоносные приложения (сценарии rc, crontab и т. Д.)
Взгляните на следующие сообщения, посвященные взломанным системам:
Процедуры подтверждения предполагаемого взлома? (Linux)
Как я узнаю, что мой Linux-сервер был взломан?
Каковы основные шаги судебно-медицинской экспертизы Linux-бокса после его взлома?