Meu servidor é potencialmente invadido. Como limpar um servidor de processos desonestos [duplicado]

Navegue suas respostas
1

Eu sou um novato e meu primeiro servidor parece ter sido invadido. Não sei como limpá-lo. Existem processos sobrecarregando a CPU que não são os proprietários. Todos os 12 CPUs estão quase todos rodando a 100%. Por favor, veja a captura de tela do htop htop no servidor

Eu executei um netstat e abaixo está um resumo da saída 

sudo netstat -anolp
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name    Timer
tcp        0      0 127.0.0.1:9001          0.0.0.0:*               LISTEN      4869/java           off (0.00/0/0)
tcp        0      0 127.0.0.1:27017         0.0.0.0:*               LISTEN      15327/mongod        off (0.00/0/0)
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN      4124/mysqld         off (0.00/0/0)
tcp        0      0 127.0.0.1:9100          0.0.0.0:*               LISTEN      24415/node_exporter off (0.00/0/0)
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      16039/nginx -g daem off (0.00/0/0)
tcp        0      0 127.0.0.1:8080          0.0.0.0:*               LISTEN      5824/config.ru      off (0.00/0/0)
tcp        0      0 127.0.0.1:9168          0.0.0.0:*               LISTEN      24370/ruby          off (0.00/0/0)
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      13595/sshd          off (0.00/0/0)
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      2370/master         off (0.00/0/0)
tcp        0      0 127.0.0.1:9121          0.0.0.0:*               LISTEN      24450/redis_exporte off (0.00/0/0)
tcp        0      0 127.0.0.1:9090          0.0.0.0:*               LISTEN      24429/prometheus    off (0.00/0/0)
tcp        0      0 127.0.0.1:9187          0.0.0.0:*               LISTEN      24421/postgres_expo off (0.00/0/0)
tcp        0      1 my.ser.ver.ip:41037    172.247.116.47:2017     SYN_SENT    26521/mbb           on (57.32/6/0)
tcp        0      0 my.ser.ver.ip:45599    124.112.1.160:29135     ESTABLISHED 32265/DDosClient    off (0.00/0/0)
tcp        0      0 127.0.0.1:9001          127.0.0.1:54729         ESTABLISHED 4869/java           keepalive (2412.64/0/0)
tcp        0      0 my.ser.ver.ip:49366    31.222.161.239:8080     ESTABLISHED 14106/hald-daemon   off (0.00/0/0)
tcp        0      0 my.ser.ver.ip:57275    163.172.204.219:443     ESTABLISHED 20238/wDHnu         keepalive (45.40/0/0)
tcp        0      0 127.0.0.1:9001          127.0.0.1:54909         ESTABLISHED 4869/java           keepalive (2445.40/0/0)
tcp        0      0 my.ser.ver.ip:56654    45.125.34.159:6969      ESTABLISHED 27006/XDTQK         off (0.00/0/0)

Eu tentei matá-los usando kill com seu PID um por um, mas depois de algum tempo eles voltaram. Então eu chequei meu cron, e havia algumas entradas lá que eu não fiz, então eu limpei elas também. Eu comparei os crons com uma nova caixa que acabei de lançar.

Eu desativei o login raiz, criei outro sudoer com o arquivo pem. Agora eu preciso encontrar uma maneira de limpar isso de uma vez por todas e me falta experiência. Alguém por favor pode me ajudar?

Obrigado antecipadamente

    
por highjo 28.11.2017 / 19:36

1 resposta

1

Se você tem 100% de certeza de que foi hackeado, a melhor maneira de agir é configurar do zero.

  • Claro que você poderia consertá-lo e recuperar sua máquina, mas você realmente seria capaz de confiar nessa instalação depois?
  • Você sabe que consertou todos os backdoors que eles possam ter instalado?

E o mais importante é deixar o servidor off-line para que ele não seja usado para os invasores.

Enquanto a máquina estiver off-line para uso público, convém diagnosticar a violação e aprender com ela em termos de segurança e, em seguida, configurá-la do zero. Eu vejo da sua captura de tela que você tem o GitLab rodando naquela máquina. Esses devem ser os únicos dados que você deve fazer backup e assumir, mas não antes de varrê-lo completamente e verificar o banco de dados em busca de entradas não autorizadas que permitam novas violações.

E esqueça de reproduzir um backup, ele pode conter ainda o buraco que permitiu ao atacante entrar.

Faça backup dos seus dados e, em seguida, instale esta máquina do zero e, acima de tudo, re-role todas as senhas que possam ter sido comprometidas também no processo.

Desculpe, mas é o melhor curso de ação que você pode tomar.

    
por Videonauth 28.11.2017 / 19:42
Suporte OpenCL quebrado em nvidia-384 Posso instalar o Ubuntu sobre o Mint sem formatar a partição? [duplicado]