Я новичок, и мой первый сервер, похоже, был взломан. Я не уверен, как его очистить. Есть процессы, которые забивают процессор, который не является владельцем. Все 12 процессоров почти все работают на 100%. Пожалуйста, см. Htop screen shot htop на сервере
Я запустил netstat, а ниже - сводка вывода
sudo netstat -anolp
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name Timer
tcp 0 0 127.0.0.1:9001 0.0.0.0:* LISTEN 4869/java off (0.00/0/0)
tcp 0 0 127.0.0.1:27017 0.0.0.0:* LISTEN 15327/mongod off (0.00/0/0)
tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 4124/mysqld off (0.00/0/0)
tcp 0 0 127.0.0.1:9100 0.0.0.0:* LISTEN 24415/node_exporter off (0.00/0/0)
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 16039/nginx -g daem off (0.00/0/0)
tcp 0 0 127.0.0.1:8080 0.0.0.0:* LISTEN 5824/config.ru off (0.00/0/0)
tcp 0 0 127.0.0.1:9168 0.0.0.0:* LISTEN 24370/ruby off (0.00/0/0)
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 13595/sshd off (0.00/0/0)
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 2370/master off (0.00/0/0)
tcp 0 0 127.0.0.1:9121 0.0.0.0:* LISTEN 24450/redis_exporte off (0.00/0/0)
tcp 0 0 127.0.0.1:9090 0.0.0.0:* LISTEN 24429/prometheus off (0.00/0/0)
tcp 0 0 127.0.0.1:9187 0.0.0.0:* LISTEN 24421/postgres_expo off (0.00/0/0)
tcp 0 1 my.ser.ver.ip:41037 172.247.116.47:2017 SYN_SENT 26521/mbb on (57.32/6/0)
tcp 0 0 my.ser.ver.ip:45599 124.112.1.160:29135 ESTABLISHED 32265/DDosClient off (0.00/0/0)
tcp 0 0 127.0.0.1:9001 127.0.0.1:54729 ESTABLISHED 4869/java keepalive (2412.64/0/0)
tcp 0 0 my.ser.ver.ip:49366 31.222.161.239:8080 ESTABLISHED 14106/hald-daemon off (0.00/0/0)
tcp 0 0 my.ser.ver.ip:57275 163.172.204.219:443 ESTABLISHED 20238/wDHnu keepalive (45.40/0/0)
tcp 0 0 127.0.0.1:9001 127.0.0.1:54909 ESTABLISHED 4869/java keepalive (2445.40/0/0)
tcp 0 0 my.ser.ver.ip:56654 45.125.34.159:6969 ESTABLISHED 27006/XDTQK off (0.00/0/0)
Я попытался убить их, используя kill с их PID one by но через некоторое время они снова поднялись. Поэтому я проверил свой cron, и там были некоторые записи, которые я не делал, поэтому я их тоже очищаю. Я сравнил коронки с новой коробкой, которую я только что запустил.
Я отключил регистрацию root, вместо этого создал другой sudoer с файлом pem. Теперь мне нужно найти способ очистить это раз и навсегда, и мне не хватает опыта.
Спасибо заранее
Если вы на 100% уверены, что вас взломали, лучшим способом действий является создание с нуля.
Уверен, что вы, возможно, исправите его и вернете свою машину, но сможете ли вы действительно поверить в эту установку позже? Знаете ли вы, что вы установили все бэкдоры, которые они могли установить?И самое главное, чтобы этот сервер был отключен, поэтому он не может использоваться для целей злоумышленников.
Пока машина отключена для публики, вы, возможно, захотите диагностировать нарушение и узнать из нее безопасность а затем настроить его с нуля. Я вижу из вашего экрана, что у вас есть GitLab, работающий на этой машине. Это должны быть единственные данные, которые вы должны сделать резервными копиями и взять на себя, но не до того, как их полностью проверить и проверите базу данных для любых записей-изгоев, которые позволили бы совершить новые нарушения.
И забудьте о воспроизведении резервной копии, содержат до сих пор дыру, которая позволила злоумышленнику войти.
Итак, создайте резервную копию своих данных, а затем установите эту машину с нуля, и прежде всего переверните все пароли, которые могли быть скомпрометированы также в процессе.
Извините, что сказал вам это, но это лучший способ действий, который вы можете предпринять.
Если вы на 100% уверены, что вас взломали, лучшим способом действий является создание с нуля.
Уверен, что вы, возможно, исправите его и вернете свою машину, но сможете ли вы действительно поверить в эту установку позже? Знаете ли вы, что вы установили все бэкдоры, которые они могли установить?И самое главное, чтобы этот сервер был отключен, поэтому он не может использоваться для целей злоумышленников.
Пока машина отключена для публики, вы, возможно, захотите диагностировать нарушение и узнать из нее безопасность а затем настроить его с нуля. Я вижу из вашего экрана, что у вас есть GitLab, работающий на этой машине. Это должны быть единственные данные, которые вы должны сделать резервными копиями и взять на себя, но не до того, как их полностью проверить и проверите базу данных для любых записей-изгоев, которые позволили бы совершить новые нарушения.
И забудьте о воспроизведении резервной копии, содержат до сих пор дыру, которая позволила злоумышленнику войти.
Итак, создайте резервную копию своих данных, а затем установите эту машину с нуля, и прежде всего переверните все пароли, которые могли быть скомпрометированы также в процессе.
Извините, что сказал вам это, но это лучший способ действий, который вы можете предпринять.