Necesito ayuda, el proveedor de mi servidor se comunicó conmigo para decirme que mi servidor estaba usando un ancho de banda de 200 mbit/s. Tras la investigación, encontré procesos para un usuario que no debería estar allí. Encontré procesos de la siguiente manera:
26269 511 Nov27 ./stealth 58.22.68.253 53
775 511 Oct12 ./eggdrop -m botnick.conf
Sé que eggdrop es IRC, mi pregunta es, ¿dónde puedo saber dónde se ha instalado el software para estos procesos?
Respuesta1
Has estado comprometido. Puedes matar los procesos, por supuesto.
Comience ejecutando /sbin/lsof | grep eggdropy /sbin/lsof | grep stealth.
Debería poder ver las rutas completas a los ejecutables desde esa salida. Eso le dará un lugar para comenzar en términos de determinar los directorios donde se instalaron los bots.
Elimine los procesos desde ese punto y proceda a ejecutar uno de los programas estándar de detección de rootkits (rkhunter ochkrootkit).
Si tiene una copia de seguridad, ese es un buen lugar al que acudir. Pero si no es así, debe determinar cómo se vio comprometido y asegurarse de que no haya nada que vuelva a activar las aplicaciones maliciosas (scripts rc, crontab, etc.)
Eche un vistazo a las siguientes publicaciones que abordan sistemas comprometidos:
¿Procedimientos para confirmar un presunto hackeo? (Linux)