Linux ps aux results - processos estranhos

4

de tarde ive notado vários processos que surgem com esta aparência. Eles amultiply cada minuto eu penso. Eu sei que eles usam memória, mas eu não sei o que está causando a aparição deles em primeiro lugar.

Como posso resolver isso e impedi-los de reaparecer novamente?

www-data  2382  3.0  2.4  91924 12092 pts/1    Sl+  13:18   1:37 ./hlds_i686 -game cstrike +ip 0.0.0.0 +maxplayers 32 +map de
www-data  2391  0.0  0.0  23748   464 ?        Ss   13:18   0:00 SCREEN -d -m ./hlds_run -game cstrike +ip 0.0.0.0 +maxplayer
www-data  2392  0.0  0.0   4008   496 pts/2    Ss+  13:18   0:00 /bin/sh ./hlds_run -game cstrike +ip 0.0.0.0 +maxplayers 32
    
por Ombongi Moraa Faith 11.10.2012 / 13:14

1 resposta

5

hlds é o servidor dedicado Half Life. Um servidor para hospedagem de jogos.

Se você não instalou, alguém invadiu seu servidor. Eles estão executando jogos fora de sua hospedagem, usando o seu lote de CPU e largura de banda. Faça um backup imediatamente e fale com seu host sobre como consertar isso (mudar a sua senha de FTP pode não ser suficiente se eles invadirem um script suspeito que você está hospedando).

Antes de restaurar um backup, certifique-se de que tudo esteja atualizado pelo mesmo motivo acima. Você não quer deixar essas pessoas de volta.

Editar: Você pode querer ser mais forense sobre isso. A pessoa que lançou os jogos parece ter o SSHed em algum momento (para iniciar o processo de tela e depois o hlds) para ver se eles ainda estão ativos em uma sessão executando who . Se você puder ver alguém com um IP que não seja seu, considere conversar com a polícia local.

Faça isso depois de fazer um backup, mas antes informar o host. A polícia precisará de logs e talvez de acesso - eles não receberão nem se o host já tiver eliminado tudo e os backups não forem suficientes.

Esteja ciente de que você pode ter a obrigação de fechar o buraco o mais rápido possível se estiver sob contrato com o host e / ou terceiros (placas PCI-DSS), portanto, certifique-se de que você esteja legalmente apto a jogar o jogo em espera antes de considere isso.

Se você encontrar um endereço IP de uma parte atacante e tiver outros logs (registros da web, etc), verifique esses endereços para seu IP. Você pode ter muita sorte e encontrar o ponto de intrusão. É muito raro você ter essa sorte, mas de vez em quando, quando as estrelas se alinham e você começa um script muito preguiçoso infantil:)

    
por Oli 11.10.2012 / 13:22

Tags