Я запускаю Apache на сервере Linux. Я заметил, что выполняются следующие процессы, которые я не ожидал увидеть и которые кажутся мошенническими.
Кто-нибудь может посоветовать мне, что они означают?
Бег ps aux | grep apache дал мне следующее:
root 6196 0.2 0.0 86708 3100 ? Ss 04:44 0:00 sshd: apache [priv]
sshd 6202 0.0 0.0 61868 1372 ? S 04:44 0:00 sshd: apache [net]
Сервер был недавно взломан c99shell (http://www.chr00t.com/2009/01/c99shell-security/), который я отследил и удалил (насколько мне известно).
Если ваш сервер был рутирован, вы должен переустановите весь сервер, если хотите быть уверенным, что от руткита ничего не осталось ...
Кроме того, возможно, что вы снова были рутированы, если вы не исправили утечку безопасности, которая привела к тому, что вас рутировали раньше.
Также: если вы используете общедоступный сервер в Интернете, обратитесь за профессиональной помощью по его администрированию. В противном случае ваш сервер - это бомба замедленного действия ботнета для всех остальных.
Кто-то вошел в систему через ssh как пользователь apache. Вероятно, ваша система все еще взломана!
Вам действительно нужно восстановить машину в чистоте. Если система скомпрометирована, нет НИКАКОЙ гарантии, что вы удалили все задние двери, руткиты и изменения.
Никто
Взлом системы - это только первый шаг. После этого взломщик мог загрузить что угодно, в том числе инструменты для взлома root и оттуда заменить системные двоичные файлы, чтобы у вас могли быть утилиты, которые даже не отображали бы то, что происходит в фоновом режиме (измененные ps, ls, tcpdump, lsof и т. .), и тогда внешние взломщики не будут обнаружены, если вы не проверяете соединения из внешней системы (и IDS или на межсетевом экране / маршрутизаторе).
Это единственный способ действительно справиться с обнаруженным компромиссом. Нет такой вещи, как полная очистка без перестройки. Вот почему вам нужны хорошие стандартные средства резервного копирования и средства обнаружения вторжений.
У вас определенно все еще есть проблема, если эти процессы SSH не являются чем-то, что вы можете отследить для себя (а вход в систему как "apache" через ssh был бы необычным делом по любой законной причине).
Я настоятельно рекомендую перестроить машину. Если сервер был взломан, особенно если взлом предоставил злоумышленнику root или другой привилегированный доступ, вы не знаете, что еще он мог утащить, даже если исходный взлом был удален. Если вы не перестраиваете, вы никогда не будете уверены, что все ненужное исчезло.
Сделайте резервную копию ваших данных, протрите машину и начните заново. Будьте осторожны при переустановке любых сторонних приложений и скриптов, у которых есть последние версии и они надежно настроены, и просмотрите свой собственный код, прежде чем снова вставлять его, чтобы убедиться, что там нет проблем (либо ошибка, которая может иметь впустить злоумышленника в первую очередь, или ошибка, добавленная злоумышленником однажды, чтобы облегчить возвращение позже).