Назад | Перейти на главную страницу

Как обнаружить вредоносный скрипт на моем сервере CentOS?

Мой VPS-провайдер предупредил меня, что мой сервер отправляет много SSH SYN-атак на другие серверы, но я не знаю, как с этим бороться.

Вот подробности, которые прислал мне мой провайдер:

  1. Где я могу найти журналы, в которых записываются все эти атаки на моем сервере?
  2. Как мне поступить с этим (найти сценарий, который отправляет эти запросы) шаг за шагом?

Наконец я нахожу сценарий.

  1. ps -ef Я нашел 10 процессов с именем ./u2000 &, Я думал это проводное.
  2. ls -l /prod/PID/exe Я нахожу ссылки на Tomcat/bin/u2000.
  3. Я никогда не знаю такого в Tomcat, поэтому просто удаляю его и останавливаю все его процессы.
  4. Отключите веб-консоль Tomcat и пользователей.
  5. Измените каталог tomcat на автономного пользователя с ограниченными правами.