助けが必要です。サーバー プロバイダーから連絡があり、サーバーが 200mbit/s の帯域幅を使用しているとのことでした。調査したところ、存在しないはずのユーザーのプロセスが見つかりました。次のようなプロセスが見つかりました。
26269 511 Nov27 ./stealth 58.22.68.253 53
775 511 Oct12 ./eggdrop -m botnick.conf
eggdrop が IRC であることは知っていますが、質問ですが、これらのプロセス用のソフトウェアがインストールされている場所はどこで確認できますか?
答え1
侵害されました。もちろん、プロセスを強制終了できます。
まず、/sbin/lsof | grep eggdropと を実行します/sbin/lsof | grep stealth。
この出力から実行可能ファイルへの完全なパスを確認できるはずです。これにより、ボットがインストールされたディレクトリを特定するための出発点がわかります。
その時点からプロセスを終了し、標準的なルートキット検出プログラム(rkhunterまたはchkrootkit)。
バックアップがある場合は、それを実行するのがよいでしょう。しかし、バックアップがない場合は、どのように侵害されたかを判断し、悪意のあるアプリケーション (rc スクリプト、crontab など) を再度トリガーするものがないことを確認する必要があります。
侵害されたシステムについて言及している次の投稿をご覧ください。