Webserver comprometido, processos estranhos executando

0

Atualmente, meu servidor Debian está gerando grande quantidade de tráfego de saída. Provavelmente comprometido e usado para atacar outros alvos.

O comando top mostra isso

  PID USER      PR  NI  VIRT  RES  SHR S  %CPU %MEM    TIME+  COMMAND
15913 www-data  20   0 23268  920  696 R   7.0  0.1 525:25.24 -
10960 www-data  20   0 23268 2272  748 R   6.7  0.2   6137:34 -
10963 www-data  20   0 23268 2224  736 R   6.7  0.2 116:30.51 -
10972 www-data  20   0 23268 2368  736 R   6.7  0.2 116:16.23 -
10975 www-data  20   0 23268 2312  736 R   6.7  0.2 116:16.52 -
13509 www-data  20   0 10416  188  168 R   6.7  0.0   1242:09 64
15916 www-data  20   0 23268 2344  744 R   6.7  0.2 116:21.48 -
15925 www-data  20   0 23268 2336  744 R   6.7  0.2 116:21.37 -
15928 www-data  20   0 23268 2264  744 R   6.7  0.2 116:21.44 -
17906 www-data  20   0 23268 2276  748 R   6.7  0.2 115:09.06 -
18191 www-data  20   0 10416  224  204 R   6.7  0.0 275:54.55 64
17893 www-data  20   0 23268 2288  748 R   6.3  0.2 115:09.14 -
19789 www-data  20   0 23268 1124  708 R   6.3  0.1  19:33.81 -
26644 www-data  20   0  258m  17m 7108 S   4.7  1.7   0:09.78 apache2
26754 www-data  20   0  256m  11m 4900 R   3.0  1.1   0:00.72 apache2
 2832 mysql     20   0  748m  75m 3012 S   1.7  7.5 194:48.84 mysqld
17890 www-data  20   0 29440 2456  852 S   0.7  0.2   8:26.73 -
17903 www-data  20   0 29440 2452  852 S   0.7  0.2   8:27.18 -
19786 www-data  20   0 29440 2452  852 S   0.7  0.2   6:03.52 -
19773 www-data  20   0 29440 2452  852 S   0.3  0.2   6:03.28 -
19776 www-data  20   0 23268 2304  708 S   0.3  0.2   1:05.50 -
20044 www-data  20   0 23268 2364  708 S   0.3  0.2   1:02.34 -
26760 www-data  20   0 23268 2332  712 S   0.3  0.2   1520:05 -
26765 tyron     20   0 79820 1608  780 S   0.3  0.2   0:00.05 sshd
27145 www-data  20   0 23268 2368  696 S   0.3  0.2   4:00.71 -
    1 root      20   0 10656  124  100 S   0.0  0.0   0:04.71 init
    2 root      20   0     0    0    0 S   0.0  0.0   0:00.00 kthreadd

Quais são esses processos que têm '-' como comando? Como posso rastrear a fonte? Aparentemente, o ataque vem através do servidor http, pois o www-data é o usuário, mas como? porque? Onde? o.O

    
por Tyron 26.03.2016 / 19:26

1 resposta

2

Você pode começar a encontrar o executável usando o comando abaixo

ls -l / proc // exe

Então você pode encontrar quem o criou (o PID pai) com o comando abaixo

ps -p -o ppid =: wq

E pesquise até encontrar o ponto de partida.

Você também pode verificar os pontos de execução automáticos comuns, como scripts de inicialização, tarefas cron globais e específicas do usuário, em scripts, arquivos rc.local. adicionando mais 1 coisa pls check google existem muitos post sobre o mesmo

    
por 26.03.2016 / 19:39

Tags