Processess desonestos no linux

3

Estou executando o Apache no servidor Linux. Eu notei os seguintes processos em execução que não estou esperando ver e aparecem desonestos.

Alguém por favor pode me dizer o que eles querem dizer?

A execução de ps aux | grep apache deu-me o seguinte:

root      6196  0.2  0.0  86708  3100 ?        Ss   04:44   0:00 sshd: apache [priv]
sshd      6202  0.0  0.0  61868  1372 ?        S    04:44   0:00 sshd: apache [net]

O servidor foi invadido recentemente pelo script c99shell ( link ) que eu rastreei e removi (tanto quanto eu sei).

    
por gWaldo 23.10.2009 / 11:03

4 respostas

7

Se o seu servidor foi enraizado, você deve reinstalar o servidor inteiro se você quiser ter certeza de que nada do rootkit é deixado ...

Além disso, é possível que você tenha sido root novamente, caso não tenha corrigido o vazamento de segurança que levou a sua enraizamento antes.

Além disso: se você estiver executando um servidor público na Internet, obtenha ajuda profissional para administrá-lo. Caso contrário, seu servidor é um timebomb de botnet para todos os outros.

    
por 23.10.2009 / 11:01
5

Você tem alguém logado via ssh como o usuário apache. Seu sistema provavelmente ainda está comprometido!

    
por 23.10.2009 / 11:17
3

Você definitivamente ainda tem um problema se esses processos SSH não forem algo que você possa rastrear para si mesmo (e fazer login como "apache" via ssh seria algo incomum a ser feito por qualquer motivo legítimo).

Eu sugiro strongmente a reconstrução da máquina. Se o servidor foi invadido, especialmente se o invasor forneceu o invasor root ou outro acesso privilegiado, você não sabe o que mais ele poderia ter descoberto, mesmo que o hack original tenha sido removido. Se você não reconstruir, nunca terá certeza de que tudo que for indesejado se foi.

Faça o backup dos seus dados, limpe a máquina e comece novamente. Tenha cuidado ao reinstalar aplicativos e scripts de terceiros com as versões mais recentes e tê-los configurados com segurança, e revise seu próprio código antes de colocá-lo novamente para garantir que não haja problemas (uma falha que possa ter ocorrido). deixe o atacante entrar em primeiro lugar, ou uma falha adicionada pelo atacante uma vez para tornar mais fácil voltar mais tarde).

    
por 23.10.2009 / 11:25
3

Você realmente precisa reconstruir a máquina. Uma vez que um sistema é comprometido, não há garantia de que você removeu todas as portas traseiras, rootkits e alterações.

Nenhum

Invadir o sistema é apenas o primeiro passo. Depois disso, o cracker poderia ter carregado qualquer coisa, incluindo ferramentas para comprometer o root e de lá substituir os binários do sistema para que você possa ter utilitários que nem mostram as coisas acontecendo em segundo plano (ps, ls, tcpdump, lsof, etc alterados .) e, em seguida, crackers externos não serão detectados, a menos que você esteja auditando conexões de um sistema externo (e IDS ou no firewall / roteador).

Essa é a única maneira de realmente lidar com um compromisso, uma vez descoberto. Não existe tal coisa como ser totalmente limpo sem uma reconstrução. É por isso que você precisa de bons backups de rotina e ferramentas de detecção de intrusão.

    
por 23.10.2009 / 13:52