State Recv-Q Send-Q Local Address:Port Peer Address:Port
FIN-WAIT-1 0 3640 my.public.ip.xx:https xxx.xx.xxx.xx:56206
SYN-SENT 0 1 my.public.ip.xx:55380 suspicious.ip1:9001 users:(("zpanel-cgi",4274,3))
FIN-WAIT-1 0 178 my.public.ip.xx:https xxx.xx.xxx.xx6:56204
FIN-WAIT-1 0 3640 my.public.ip.xx:https xxx.xx.xxx.xx:3275
ESTAB 0 304 my.public.ip.xx:ssh my.local.ip.x:32806 users:(("sshd",13981,3))
FIN-WAIT-1 0 178 my.public.ip.xx:https xxx.xx.xxx.xx:3263
SYN-SENT 0 1 my.public.ip.xx:42411 suspicious.ip2:whois users:(("whois",14681,175))
FIN-WAIT-1 0 70 my.public.ip.xx:https xxx.xx.xxx.xx:56198
ESTAB 0 0 my.public.ip.xx:http xxx.xx.xxx.xx:7497 users:(("apache2",14594,88))
Ciao, Quindi il mio server è stato compromesso qualche tempo fa e sto cercando di correggere i problemi.
Il mio server è in esecuzione Ubuntu 12.04 . Come puoi vedere dal log precedente (derivato dal comando ss -tp ), ci sono due connessioni che sono alieni (entrambi i nomi utente non possono essere trovati nel file / etc / passwd
Attualmente sto usando ufw per bloccare tutte le strane connessioni in entrata / in uscita.
La mia domanda è: come posso cancellare completamente queste connessioni e il loro processo / utenti genitore?