TL; DR Eu não perguntei como cuidar do meu servidor comprometido. Eu perguntei como detectar se um arquivo é anômalo / estranho / não oficial. Portanto, isso não é uma duplicata da pergunta sobre servidores comprometidos. Isso é óbvio para quem leva 2 minutos para ler as duas perguntas antes de sinalizar como duplicado.
Esta manhã, tivemos um relatório de enorme tráfego de saída anômalo de um dos nossos servidores Debian.
Eu tentei lançar netstat -tpe como root e eu encontrei
isso . unama é um processo desconhecido, pesquisei on-line e não consegui encontrar nenhuma referência.
Eu lancei um whois 173.254.230.36 e descobri que o ip pertence a uma organização chinesa chamada meiyunla.
Então eu tentei com which unama , apenas para descobrir que é um arquivo binário ilegível localizado em /bin/unama .
Alguém sabe como detectar se este arquivo unama é um pacote oficial para ter ou se é algo anômalo?
editar
Apenas para informação, no final foi algum tipo de vírus, o que tornou o nosso servidor parte de uma botnet. A exclusão do arquivo foi inútil, pois após alguns minutos ele estava lá novamente, usando de 60% a 100% da CPU.
Tivemos que desligar o servidor e iniciar um novo, reinstalando todo o software do zero.
Apenas uma coisa: nunca use a autenticação de senha ssh em um ip público:)
unama definitivamente não é um arquivo "normal" de um pacote oficial, consulte packages.debian.org .
Você verifica se é proveniente de qualquer pacote não oficial instalado executando dpkg -S /bin/unama . Isso mostrará o nome do pacote instalado de onde ele vem ou não mostrará nada se esse arquivo não estiver associado a nenhum pacote atualmente instalado.
Tags networking debian hacking
