Мой сервер находился под большой нагрузкой около 400 и выше. Здесь ссылка на вопрос о сбое сервера
Я смог увидеть rm команда и xargs работает в верхнем выводе, в котором я был единственным пользователем, вошедшим в систему.
Я пытался убить этот процесс, но это не сработало.
Я попытался написать правило iptables, чтобы политика по умолчанию отбрасывалась и позволяла взаимодействовать только моему IP-адресу, но перед этим iptables пропал. Я установил его снова, но он показал:
FATAL: не удалось загрузить /lib/modules/2.6.32-5-vserver-amd64/modules.dep: нет такого файла или каталога iptables v1.4.14: невозможно инициализировать таблицу iptables `filter ': таблица не существует (сделать вам нужно insmod?) Возможно, iptables или ваше ядро нужно обновить.
Когда я пытался выключить сервер, я получал сообщения о тайм-ауте. Перезагрузка тоже не прошла.
Как только загрузка снизилась, я выполнил сканирование chrootkit и вот результат. Он показывает множество недостающих модулей и скрытых файлов.
Searching for suspicious files and dirs, it may take a while... The
following suspicious files and directories were found:
/usr/lib/pymodules/python2.6/.path /usr/lib/pymodules/python2.7/.path
/usr/lib/node_modules/npm/.npmignore
/usr/lib/node_modules/npm/.travis.yml
/usr/lib/node_modules/npm/node_modules/fast-list/.npmignore
/usr/lib/node_modules/npm/node_modules/fast-list/.travis.yml
/usr/lib/node_modules/npm/node_modules/fstream/.npmignore
/usr/lib/node_modules/npm/node_modules/fstream/.travis.yml
/usr/lib/node_modules/npm/node_modules/graceful-fs/.npmignore
/usr/lib/node_modules/npm/node_modules/lru-cache/.npmignore
/usr/lib/node_modules/npm/node_modules/minimatch/.travis.yml
/usr/lib/node_modules/npm/node_modules/node-uuid/.npmignore
/usr/lib/node_modules/npm/node_modules/nopt/.npmignore
/usr/lib/node_modules/npm/node_modules/slide/.npmignore
/usr/lib/node_modules/npm/node_modules/tar/.npmignore
/usr/lib/node_modules/npm/node_modules/tar/.travis.yml
/usr/lib/node_modules/npm/node_modules/.bin
/usr/lib/node_modules/npm/test/packages/npm-test-files/.npmignore
/usr/lib/node_modules/npm/test/packages/npm-test-ignore/.npmignore
/usr/lib/node_modules/npm/node_modules/.bin
Проверка lkm ... У вас есть процесс 3086, скрытый для команды readdir SIGINVISIBLE Найдено Adore chkproc: Предупреждение: установлен возможный троян LKM
Нужно ли мне проводить дальнейшее расследование, чтобы подтвердить, что это была атака?
Как я могу получить подробную информацию о способах проникновения злоумышленника?
Похоже, что chkrootkit не нравится ваша установка Node.js, так как в ней много скрытых файлов. Однако для меня большинство из них выглядят нормально для установки Node. Те, что на Python, выглядят необычно, но это может быть только потому, что вы используете Debian. Проверьте тех.
Что касается проблемы с iptables, вы там зависите от своего провайдера VPS. Поскольку OpenVZ и Linux-VServer используют общее ядро, вы можете использовать iptables, только если провайдер загрузит его за вас. В частности, Linux-VServer имеет очень ограниченную поддержку iptables в гостевых контейнерах или совсем не поддерживает ее.
Я надеюсь, что к настоящему моменту вы отошли от того дрянного VPS на базе OpenVZ, на котором вы были. Это, безусловно, основная причина всех ваших проблем.