Мой сервер потенциально взломан. Как очистить сервер от процессов изгоев [duplicate]

Этот вопрос уже имеет ответ здесь: мой компьютер, возможно, был скомпрометирован, что мне делать? 3 ответа

Я новичок, и мой первый сервер, похоже, был взломан. Я не уверен, как его очистить. Есть процессы, которые забивают процессор, который не является владельцем. Все 12 процессоров почти все работают на 100%. Пожалуйста, см. Htop screen shot htop на сервере

Я запустил netstat, а ниже - сводка вывода

sudo netstat -anolp Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name Timer tcp 0 0 127.0.0.1:9001 0.0.0.0:* LISTEN 4869/java off (0.00/0/0) tcp 0 0 127.0.0.1:27017 0.0.0.0:* LISTEN 15327/mongod off (0.00/0/0) tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 4124/mysqld off (0.00/0/0) tcp 0 0 127.0.0.1:9100 0.0.0.0:* LISTEN 24415/node_exporter off (0.00/0/0) tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 16039/nginx -g daem off (0.00/0/0) tcp 0 0 127.0.0.1:8080 0.0.0.0:* LISTEN 5824/config.ru off (0.00/0/0) tcp 0 0 127.0.0.1:9168 0.0.0.0:* LISTEN 24370/ruby off (0.00/0/0) tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 13595/sshd off (0.00/0/0) tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 2370/master off (0.00/0/0) tcp 0 0 127.0.0.1:9121 0.0.0.0:* LISTEN 24450/redis_exporte off (0.00/0/0) tcp 0 0 127.0.0.1:9090 0.0.0.0:* LISTEN 24429/prometheus off (0.00/0/0) tcp 0 0 127.0.0.1:9187 0.0.0.0:* LISTEN 24421/postgres_expo off (0.00/0/0) tcp 0 1 my.ser.ver.ip:41037 172.247.116.47:2017 SYN_SENT 26521/mbb on (57.32/6/0) tcp 0 0 my.ser.ver.ip:45599 124.112.1.160:29135 ESTABLISHED 32265/DDosClient off (0.00/0/0) tcp 0 0 127.0.0.1:9001 127.0.0.1:54729 ESTABLISHED 4869/java keepalive (2412.64/0/0) tcp 0 0 my.ser.ver.ip:49366 31.222.161.239:8080 ESTABLISHED 14106/hald-daemon off (0.00/0/0) tcp 0 0 my.ser.ver.ip:57275 163.172.204.219:443 ESTABLISHED 20238/wDHnu keepalive (45.40/0/0) tcp 0 0 127.0.0.1:9001 127.0.0.1:54909 ESTABLISHED 4869/java keepalive (2445.40/0/0) tcp 0 0 my.ser.ver.ip:56654 45.125.34.159:6969 ESTABLISHED 27006/XDTQK off (0.00/0/0)

Я попытался убить их, используя kill с их PID one by но через некоторое время они снова поднялись. Поэтому я проверил свой cron, и там были некоторые записи, которые я не делал, поэтому я их тоже очищаю. Я сравнил коронки с новой коробкой, которую я только что запустил.

Я отключил регистрацию root, вместо этого создал другой sudoer с файлом pem. Теперь мне нужно найти способ очистить это раз и навсегда, и мне не хватает опыта.

Спасибо заранее

1
задан 28 November 2017 в 22:36

2 ответа

Если вы на 100% уверены, что вас взломали, лучшим способом действий является создание с нуля.

Уверен, что вы, возможно, исправите его и вернете свою машину, но сможете ли вы действительно поверить в эту установку позже? Знаете ли вы, что вы установили все бэкдоры, которые они могли установить?

И самое главное, чтобы этот сервер был отключен, поэтому он не может использоваться для целей злоумышленников.

Пока машина отключена для публики, вы, возможно, захотите диагностировать нарушение и узнать из нее безопасность а затем настроить его с нуля. Я вижу из вашего экрана, что у вас есть GitLab, работающий на этой машине. Это должны быть единственные данные, которые вы должны сделать резервными копиями и взять на себя, но не до того, как их полностью проверить и проверите базу данных для любых записей-изгоев, которые позволили бы совершить новые нарушения.

И забудьте о воспроизведении резервной копии, содержат до сих пор дыру, которая позволила злоумышленнику войти.

Итак, создайте резервную копию своих данных, а затем установите эту машину с нуля, и прежде всего переверните все пароли, которые могли быть скомпрометированы также в процессе.

Извините, что сказал вам это, но это лучший способ действий, который вы можете предпринять.

1
ответ дан 18 July 2018 в 02:24

Если вы на 100% уверены, что вас взломали, лучшим способом действий является создание с нуля.

Уверен, что вы, возможно, исправите его и вернете свою машину, но сможете ли вы действительно поверить в эту установку позже? Знаете ли вы, что вы установили все бэкдоры, которые они могли установить?

И самое главное, чтобы этот сервер был отключен, поэтому он не может использоваться для целей злоумышленников.

Пока машина отключена для публики, вы, возможно, захотите диагностировать нарушение и узнать из нее безопасность а затем настроить его с нуля. Я вижу из вашего экрана, что у вас есть GitLab, работающий на этой машине. Это должны быть единственные данные, которые вы должны сделать резервными копиями и взять на себя, но не до того, как их полностью проверить и проверите базу данных для любых записей-изгоев, которые позволили бы совершить новые нарушения.

И забудьте о воспроизведении резервной копии, содержат до сих пор дыру, которая позволила злоумышленнику войти.

Итак, создайте резервную копию своих данных, а затем установите эту машину с нуля, и прежде всего переверните все пароли, которые могли быть скомпрометированы также в процессе.

Извините, что сказал вам это, но это лучший способ действий, который вы можете предпринять.

1
ответ дан 24 July 2018 в 17:33
  • 1
    Очень хорошо. Подождите еще пару ответов и примет решение – highjo 28 November 2017 в 22:47
  • 2
    Прекрасно со мной :) Я не смогу получить репутацию сегодняшнего дня, так или иначе, покататься на кепке уже на сегодня. – Videonauth 28 November 2017 в 22:48
  • 3
    Если вы новый пользователь, это с уверенностью предположить, что любой потенциальный взломщик знает больше чем вы, таким образом, новая установка является способом пойти. Я бы не стал ничего передавать от трещин на сервере периода. Прочитать о безопасности, есть причина корневая учетная запись заблокирована по умолчанию, и я думаю, вы уже выяснили, почему. – Panther 28 November 2017 в 22:51

Другие вопросы по тегам:

Похожие вопросы: