Ich brauche Hilfe. Mein Serveranbieter hat mich kontaktiert und mir mitgeteilt, dass mein Server eine Bandbreite von 200 Mbit/s nutzt. Bei der Untersuchung habe ich Prozesse für einen Benutzer gefunden, die dort nicht sein sollten. Ich habe die folgenden Prozesse gefunden:
26269 511 Nov27 ./stealth 58.22.68.253 53
775 511 Oct12 ./eggdrop -m botnick.conf
Ich weiß, dass Eggdrop IRC ist. Meine Frage ist, wo kann ich herausfinden, wo die Software für diese Prozesse installiert wurde?
Antwort1
Sie wurden kompromittiert. Sie können die Prozesse natürlich beenden.
Beginnen Sie mit dem Ausführen /sbin/lsof | grep eggdropvon und /sbin/lsof | grep stealth.
In dieser Ausgabe sollten Sie die vollständigen Pfade zu den ausführbaren Dateien sehen können. So haben Sie einen Ausgangspunkt, um die Verzeichnisse zu ermitteln, in denen die Bots installiert wurden.
Beenden Sie die Prozesse ab diesem Punkt und führen Sie dann eines der Standard-Rootkit-Erkennungsprogramme aus (rkhunter oderchkrootkit).
Wenn Sie ein Backup haben, ist das eine gute Lösung. Wenn nicht, müssen Sie herausfinden, wie Sie kompromittiert wurden, und sicherstellen, dass nichts vorhanden ist, was die bösartigen Anwendungen erneut auslösen könnte (RC-Skripte, Crontab usw.).
Sehen Sie sich die folgenden Beiträge an, die sich mit kompromittierten Systemen befassen:
Verfahren zur Bestätigung eines vermuteten Hacks? (Linux)