Trova e uccidi processo che crea connessioni malevoli

0
State      Recv-Q Send-Q        Local Address:Port            Peer Address:Port   
FIN-WAIT-1 0      3640        my.public.ip.xx:https          xxx.xx.xxx.xx:56206   
SYN-SENT   0      1           my.public.ip.xx:55380          suspicious.ip1:9001     users:(("zpanel-cgi",4274,3))
FIN-WAIT-1 0      178         my.public.ip.xx:https          xxx.xx.xxx.xx6:56204   
FIN-WAIT-1 0      3640        my.public.ip.xx:https          xxx.xx.xxx.xx:3275    
ESTAB      0      304         my.public.ip.xx:ssh            my.local.ip.x:32806    users:(("sshd",13981,3))
FIN-WAIT-1 0      178         my.public.ip.xx:https          xxx.xx.xxx.xx:3263    
SYN-SENT   0      1           my.public.ip.xx:42411          suspicious.ip2:whois    users:(("whois",14681,175))
FIN-WAIT-1 0      70          my.public.ip.xx:https          xxx.xx.xxx.xx:56198   
ESTAB      0      0           my.public.ip.xx:http           xxx.xx.xxx.xx:7497     users:(("apache2",14594,88))

Ciao, Quindi il mio server è stato compromesso qualche tempo fa e sto cercando di correggere i problemi.

Il mio server è in esecuzione Ubuntu 12.04 . Come puoi vedere dal log precedente (derivato dal comando ss -tp ), ci sono due connessioni che sono alieni (entrambi i nomi utente non possono essere trovati nel file / etc / passwd

Attualmente sto usando ufw per bloccare tutte le strane connessioni in entrata / in uscita.
La mia domanda è: come posso cancellare completamente queste connessioni e il loro processo / utenti genitore?

    
posta Nathan Do 03.10.2014 - 06:40
fonte

1 risposta

4

Nuke dall'orbita. È l'unico modo per esserne sicuri

Seriamente, se sei sicuro che il tuo server è stato compromesso, l'unico modo per ripulirlo è ripulirlo e ricostruirlo, questa volta assicurandoti che qualsiasi vulnerabilità sia stata utilizzata.

Certo, potresti passare il tempo a giocare a whack-a-mole, ma come puoi essere sicuro di aver rimosso un file, quando l'autore dell'attacco potrebbe aver patchato rm e ls per mentirti? Sostituito ps e top con versioni che non elencano il bot dell'attaccante? Sostituito ufw per far passare le loro connessioni senza dirti?

    
risposta data 03.10.2014 - 07:00
fonte

Leggi altre domande sui tag