Estou executando o Apache no servidor Linux. Eu notei os seguintes processos em execução que não estou esperando ver e aparecem desonestos.
Alguém por favor pode me dizer o que eles querem dizer?
A execução de ps aux | grep apache deu-me o seguinte:
root 6196 0.2 0.0 86708 3100 ? Ss 04:44 0:00 sshd: apache [priv]
sshd 6202 0.0 0.0 61868 1372 ? S 04:44 0:00 sshd: apache [net]
O servidor foi invadido recentemente pelo script c99shell ( link ) que eu rastreei e removi (tanto quanto eu sei).
Se o seu servidor foi enraizado, você deve reinstalar o servidor inteiro se você quiser ter certeza de que nada do rootkit é deixado ...
Além disso, é possível que você tenha sido root novamente, caso não tenha corrigido o vazamento de segurança que levou a sua enraizamento antes.
Além disso: se você estiver executando um servidor público na Internet, obtenha ajuda profissional para administrá-lo. Caso contrário, seu servidor é um timebomb de botnet para todos os outros.
Você tem alguém logado via ssh como o usuário apache. Seu sistema provavelmente ainda está comprometido!
Você definitivamente ainda tem um problema se esses processos SSH não forem algo que você possa rastrear para si mesmo (e fazer login como "apache" via ssh seria algo incomum a ser feito por qualquer motivo legítimo).
Eu sugiro strongmente a reconstrução da máquina. Se o servidor foi invadido, especialmente se o invasor forneceu o invasor root ou outro acesso privilegiado, você não sabe o que mais ele poderia ter descoberto, mesmo que o hack original tenha sido removido. Se você não reconstruir, nunca terá certeza de que tudo que for indesejado se foi.
Faça o backup dos seus dados, limpe a máquina e comece novamente. Tenha cuidado ao reinstalar aplicativos e scripts de terceiros com as versões mais recentes e tê-los configurados com segurança, e revise seu próprio código antes de colocá-lo novamente para garantir que não haja problemas (uma falha que possa ter ocorrido). deixe o atacante entrar em primeiro lugar, ou uma falha adicionada pelo atacante uma vez para tornar mais fácil voltar mais tarde).
Você realmente precisa reconstruir a máquina. Uma vez que um sistema é comprometido, não há garantia de que você removeu todas as portas traseiras, rootkits e alterações.
Nenhum
Invadir o sistema é apenas o primeiro passo. Depois disso, o cracker poderia ter carregado qualquer coisa, incluindo ferramentas para comprometer o root e de lá substituir os binários do sistema para que você possa ter utilitários que nem mostram as coisas acontecendo em segundo plano (ps, ls, tcpdump, lsof, etc alterados .) e, em seguida, crackers externos não serão detectados, a menos que você esteja auditando conexões de um sistema externo (e IDS ou no firewall / roteador).
Essa é a única maneira de realmente lidar com um compromisso, uma vez descoberto. Não existe tal coisa como ser totalmente limpo sem uma reconstrução. É por isso que você precisa de bons backups de rotina e ferramentas de detecção de intrusão.
Tags process hacking linux apache-2.2