Мне нужна помощь, мой провайдер сервера связался со мной и сказал, что мой сервер использует полосу пропускания 200 Мбит/с. После расследования я обнаружил процессы для пользователя, которого там быть не должно. Я обнаружил следующие процессы:
26269 511 Nov27 ./stealth 58.22.68.253 53
775 511 Oct12 ./eggdrop -m botnick.conf
Я знаю, что eggdrop — это IRC, но у меня вопрос: где я могу узнать, где установлено программное обеспечение для этих процессов?
решение1
Вас скомпрометировали. Конечно, вы можете завершить процессы.
Начните с запуска /sbin/lsof | grep eggdropи /sbin/lsof | grep stealth.
Вы должны увидеть полные пути к исполняемым файлам из этого вывода. Это даст вам отправную точку в определении каталогов, в которых были установлены боты.
Завершите процессы с этого момента и запустите одну из стандартных программ обнаружения руткитов (rkhunter илиchkrootkit).
Если у вас есть резервная копия, это хорошее место, куда можно обратиться. Но если нет, вам нужно определить, как вы были скомпрометированы, и убедиться, что нет ничего, что может повторно запустить вредоносные приложения (скрипты rc, crontab и т. д.)
Ознакомьтесь со следующими публикациями, посвященными скомпрометированным системам:
Процедуры подтверждения предполагаемого взлома? (Linux)
Как узнать, был ли взломан мой Linux-сервер?
Каковы основные этапы проведения криминалистического анализа Linux-бокса после его взлома?