Carrega muito alto e muitos arquivos, incluindo iptables, estão em falta: O meu servidor está sob ataque?

Question

Carrega muito alto e muitos arquivos, incluindo iptables, estão em falta: O meu servidor está sob ataque?

#1 resposta do (0 votos)

2

Meu servidor estava sob carga pesada em torno de 400 e acima. Aqui está o link da questão de falha do servidor

Consegui ver o comando rm e xargs sendo executados na saída principal, na qual eu era o único usuário conectado.

Eu tentei matar esse processo, mas isso não funcionou.

Eu tentei escrever uma regra iptables para fazer com que uma política padrão fosse descartada e permitir que apenas meu IP se comunicasse, mas antes de fazer isso, o iptables desapareceu. Eu instalei novamente, mas mostrou:

FATAL: Could not load /lib/modules/2.6.32-5-vserver-amd64/modules.dep: No such file or directory iptables v1.4.14: can't initialize iptables table 'filter': Table does not exist (do you need to insmod?) Perhaps iptables or your kernel needs to be upgraded.

Quando tentei desligar o servidor, recebi mensagens de tempo limite. A reinicialização também não funcionou.

Quando a carga desceu, executei uma verificação de chrootkit e aqui está o resultado. Ele mostra muitos módulos ausentes e arquivos ocultos.

Searching for suspicious files and dirs, it may take a while... The
following suspicious files and directories were found:
/usr/lib/pymodules/python2.6/.path /usr/lib/pymodules/python2.7/.path
/usr/lib/node_modules/npm/.npmignore
/usr/lib/node_modules/npm/.travis.yml
/usr/lib/node_modules/npm/node_modules/fast-list/.npmignore
/usr/lib/node_modules/npm/node_modules/fast-list/.travis.yml
/usr/lib/node_modules/npm/node_modules/fstream/.npmignore
/usr/lib/node_modules/npm/node_modules/fstream/.travis.yml
/usr/lib/node_modules/npm/node_modules/graceful-fs/.npmignore
/usr/lib/node_modules/npm/node_modules/lru-cache/.npmignore
/usr/lib/node_modules/npm/node_modules/minimatch/.travis.yml
/usr/lib/node_modules/npm/node_modules/node-uuid/.npmignore
/usr/lib/node_modules/npm/node_modules/nopt/.npmignore
/usr/lib/node_modules/npm/node_modules/slide/.npmignore
/usr/lib/node_modules/npm/node_modules/tar/.npmignore
/usr/lib/node_modules/npm/node_modules/tar/.travis.yml
/usr/lib/node_modules/npm/node_modules/.bin
/usr/lib/node_modules/npm/test/packages/npm-test-files/.npmignore
/usr/lib/node_modules/npm/test/packages/npm-test-ignore/.npmignore
/usr/lib/node_modules/npm/node_modules/.bin

Checking 'lkm'... You have 3086 process hidden for readdir command SIGINVISIBLE Adore found chkproc: Warning: Possible LKM Trojan installed

Preciso investigar mais para confirmar que foi um ataque?

Como posso obter detalhes sobre como o invasor entrou?

iptables hacking linux

por ananthan 14.08.2012 / 12:06

1 resposta

Tags iptables hacking linux

mod_rewrite no diretório alias não está funcionando comportamento estranho da Política de Grupo

score 0 · Accepted Answer

Parece que o chkrootkit não gosta da sua instalação do Node.js, pois possui um grande número de arquivos ocultos. A maioria deles parece normal para uma instalação do Node, no entanto. Os Python não parecem normais, mas isso pode ser apenas porque você está usando o Debian. Verifique naqueles.

Quanto ao problema do iptables, você está à mercê do seu provedor de VPS. Como o OpenVZ e o Linux-VServer usam um kernel compartilhado, você só pode usar o iptables se o provedor o carregar para você. Em particular, o Linux-VServer tem um suporte muito limitado ou nenhum suporte para o iptables em containers convidados.

Espero que até agora você tenha se afastado do VPS baseado em OpenVZ que você estava usando. Essa é certamente a causa raiz de todos os problemas que você tem tido.