Não há uma resposta simples em que o backdoor esteja, mas você pode encontrar algumas informações que podem levar a uma identificação mais próxima.
Punho:
a melhor idéia é soltar o vps e implantar um novo .
Os processos são executados sob o usuário root e alguém acessado como root (é possível adivinhar corretamente sua senha), portanto:
- altere a senha do root (e use uma senha strong)
- altere a chave ssh (remova todas as chaves antigas / desconhecidas de
/root/.ssh/authorized_keys) - permite acesso ao ssh apenas do seu IP
- por último, mas não menos importante, atualize o kernel (pode haver um problema de segurança).
Além disso, verifique todos os usuários no servidor e faça o mesmo.
Verifique, se alguma alteração aparecer nos pacotes rpm: rpm -aV - (é um grande problema se, por exemplo, sshd binary tiver md5sum, permissões, etc. diferentes. Consulte a seção VERIFY OPTIONS de man rpm para obter mais detalhes).
Para identificação:
Em vez de matar processos em execução, tente investigar de onde eles vêm. Você pode começar com pstree , que mostra seu processo pai. Por exemplo. com pstree -s -p <pid> .
Algumas informações podem ser encontradas em /proc/ . cat /proc/<pid>/status te dá detalhes. Você pode verificar os arquivos usados por um processo com ls -l /proc/<pid>/fd , ls -l /proc/<pid>cwd mostra o link para o diretório de trabalho atual. Vincular ao executável de verificação de processo com ls -l /proc/<pid>/exe e argumentos com cat /proc/<pid>/command . Há mais informações que você pode encontrar com /proc/ , consulte docs para obter detalhes .
E tenha sorte:)
Para o futuro:
Desabilite o root no ssh, acesse como usuário e use sudo para alternar para o root. Bloqueie o ssh de todos os IPs ao invés do seu próprio e instale e configure o fail2ban para o ssh para bloquear bots de entrada, que adivinham senhas.