Назад | Перейти на главную страницу

linux centos 5.6 кто-то установил irc

Мне нужна помощь, мой провайдер сервера связался со мной, чтобы сказать, что мой сервер использует пропускную способность 200 Мбит / с. В результате расследования я обнаружил для пользователя процессы, которых здесь не должно быть .. Я обнаружил следующие процессы:

 26269  511     Nov27   ./stealth 58.22.68.253 53
 775    511     Oct12   ./eggdrop -m botnick.conf

Я знаю, что eggdrop - это IRC, у меня вопрос, где я могу узнать, где было установлено программное обеспечение для этих процессов?

Вы были скомпрометированы. Конечно, вы можете убить процессы.

Начни с бега /sbin/lsof | grep eggdrop и /sbin/lsof | grep stealth.

Вы должны увидеть полные пути к исполняемым файлам из этого вывода. Это даст вам место для начала с точки зрения определения каталогов, в которых были установлены боты.

Завершите процессы с этой точки и перейдите к запуску одной из стандартных программ обнаружения руткитов (rkhunter или chkrootkit).

Если у вас есть резервная копия, это хорошее место. Но если нет, вам необходимо определить, как вы были скомпрометированы, и убедиться, что нет ничего, что может повторно запустить вредоносные приложения (сценарии rc, crontab и т. Д.)

Взгляните на следующие сообщения, посвященные взломанным системам:

Процедуры подтверждения предполагаемого взлома? (Linux)

Как я узнаю, что мой Linux-сервер был взломан?

Каковы основные шаги судебно-медицинской экспертизы Linux-бокса после его взлома?