Мой сервер потенциально взломан. Как очистить сервер от мошеннических процессов [дубликат]
Я новичок, и мой первый сервер, похоже, был взломан. Я не знаю, как его почистить. ЦП загружаются процессами, владельцем которых я не являюсь. Все 12 процессоров почти все работают на 100%. Пожалуйста, посмотрите снимок экрана htop htop на сервере
Я запустил netstat, и ниже приводится сводка результатов
sudo netstat -anolp
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name Timer
tcp 0 0 127.0.0.1:9001 0.0.0.0:* LISTEN 4869/java off (0.00/0/0)
tcp 0 0 127.0.0.1:27017 0.0.0.0:* LISTEN 15327/mongod off (0.00/0/0)
tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 4124/mysqld off (0.00/0/0)
tcp 0 0 127.0.0.1:9100 0.0.0.0:* LISTEN 24415/node_exporter off (0.00/0/0)
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 16039/nginx -g daem off (0.00/0/0)
tcp 0 0 127.0.0.1:8080 0.0.0.0:* LISTEN 5824/config.ru off (0.00/0/0)
tcp 0 0 127.0.0.1:9168 0.0.0.0:* LISTEN 24370/ruby off (0.00/0/0)
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 13595/sshd off (0.00/0/0)
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 2370/master off (0.00/0/0)
tcp 0 0 127.0.0.1:9121 0.0.0.0:* LISTEN 24450/redis_exporte off (0.00/0/0)
tcp 0 0 127.0.0.1:9090 0.0.0.0:* LISTEN 24429/prometheus off (0.00/0/0)
tcp 0 0 127.0.0.1:9187 0.0.0.0:* LISTEN 24421/postgres_expo off (0.00/0/0)
tcp 0 1 my.ser.ver.ip:41037 172.247.116.47:2017 SYN_SENT 26521/mbb on (57.32/6/0)
tcp 0 0 my.ser.ver.ip:45599 124.112.1.160:29135 ESTABLISHED 32265/DDosClient off (0.00/0/0)
tcp 0 0 127.0.0.1:9001 127.0.0.1:54729 ESTABLISHED 4869/java keepalive (2412.64/0/0)
tcp 0 0 my.ser.ver.ip:49366 31.222.161.239:8080 ESTABLISHED 14106/hald-daemon off (0.00/0/0)
tcp 0 0 my.ser.ver.ip:57275 163.172.204.219:443 ESTABLISHED 20238/wDHnu keepalive (45.40/0/0)
tcp 0 0 127.0.0.1:9001 127.0.0.1:54909 ESTABLISHED 4869/java keepalive (2445.40/0/0)
tcp 0 0 my.ser.ver.ip:56654 45.125.34.159:6969 ESTABLISHED 27006/XDTQK off (0.00/0/0)
. Я пытался убить их с помощью kill с их PID один за другим, но после какое-то время они снова подходили. Итак, я проверил свой cron, и там были некоторые записи, которые я не делал, поэтому я их тоже очистил. Сравнил кроны с новым только что запущенным боксом.
Я отключил вход root, вместо этого создал другой sudoer с файлом pem. Теперь мне нужно найти способ очистить это раз и навсегда, а мне не хватает опыта. Кто-нибудь может мне помочь?
Заранее спасибо
1 ответ
Если вы на 100% уверены, что вас взломали, лучший способ действий - это настроить с нуля.
- Конечно, вы могли бы починить и вернуть свою машину, но сможете ли вы потом довериться этой установке?
- Знаете ли вы, что вы исправили все бэкдоры, которые у них могли быть? установлены?
И самое главное отключить этот сервер, чтобы его нельзя было использовать для атакующих.
Пока машина недоступна для общего пользования, вы можете диагностировать нарушение, учиться на нем с точки зрения безопасности, а затем настраивать его с нуля. По вашему скриншоту я вижу, что на этой машине работает GitLab. Это должны быть единственные данные, которые вы должны сделать резервную копию и получить, но не перед тщательным сканированием и проверкой базы данных на наличие посторонних записей, которые могут допустить новые нарушения.
И забудьте о воспроизведении резервной копии, она может содержать дыру, которая позволила атакующему войти.
Итак, сделайте резервную копию ваших данных, а затем установите этот аппарат с нуля и, прежде всего, перекатайте все пароли, которые могли быть скомпрометированы в процессе.
Извините, что сказал вам об этом, но это лучший путь, который вы можете предпринять.