Preciso de ajuda, meu provedor de servidor entrou em contato comigo para me informar que meu servidor estava usando largura de banda de 200mbit/s. Após investigação, encontrei processos para um usuário que não deveria estar lá. Encontrei processos como segue:
26269 511 Nov27 ./stealth 58.22.68.253 53
775 511 Oct12 ./eggdrop -m botnick.conf
Eu sei que eggdrop é IRC, minha pergunta é: onde posso descobrir onde o software foi instalado para esses processos?
Responder1
Você foi comprometido. Você pode matar os processos, é claro.
Comece executando /sbin/lsof | grep eggdrope /sbin/lsof | grep stealth.
Você deverá conseguir ver os caminhos completos para os executáveis dessa saída. Isso lhe dará um ponto de partida para determinar os diretórios onde os bots foram instalados.
Elimine os processos a partir desse ponto e execute um dos programas padrão de detecção de rootkit (rkhunter ouchkrootkit).
Se você tiver um backup, é um bom lugar para ir. Mas se não, você precisa determinar como foi comprometido e garantir que não há nada que irá reativar os aplicativos maliciosos (scripts rc, crontab, etc.)
Dê uma olhada nas seguintes postagens que abordam sistemas comprometidos:
Procedimentos para confirmar uma suspeita de hack? (Linux)
Como posso saber se meu servidor Linux foi hackeado?
Quais são as principais etapas da análise forense da caixa Linux depois que ela foi hackeada?