Ospito il mio sito personale su digitalocean. Al giorno d'oggi, ho ricevuto molti reclami di abuso che finalmente li fanno spegnere la mia macchina. Mi sento davvero triste e arrabbiato.
Qualcuno lamenta che la mia macchina sia utilizzata per attaccare la sua macchina tramite ssh. Controllo la mia macchina e trovo due sospetti:
root@eva:~# lsof -i
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
sshd 566 root 3r IPv6 7494 0t0 TCP *:ssh (LISTEN)
sshd 566 root 4u IPv4 7518 0t0 TCP *:ssh (LISTEN)
php5-fpm 671 root 6u IPv4 7849 0t0 TCP localhost:9000 (LISTEN)
php5-fpm 672 www-data 0u IPv4 7849 0t0 TCP localhost:9000 (LISTEN)
php5-fpm 673 www-data 0u IPv4 7849 0t0 TCP localhost:9000 (LISTEN)
php5-fpm 674 www-data 0u IPv4 7849 0t0 TCP localhost:9000 (LISTEN)
php5-fpm 675 www-data 0u IPv4 7849 0t0 TCP localhost:9000 (LISTEN)
mysqld 759 mysql 10u IPv4 8233 0t0 TCP localhost:mysql (LISTEN)
bash 1018 root 3u IPv4 8700 0t0 TCP *:3245 (LISTEN)
bash 1018 root 8u IPv4 8783 0t0 TCP mysitename.com:57728->91.236.182.1:ircd (ESTABLISHED)
bash 1018 root 9u IPv4 8714 0t0 TCP mysitename.com->ircu.atw.hu:ircd (ESTABLISHED)
apache2 30915 root 3u IPv4 4216829 0t0 TCP *:http (LISTEN)
apache2 30920 www-data 3u IPv4 4216829 0t0 TCP *:http (LISTEN)
apache2 30921 www-data 3u IPv4 4216829 0t0 TCP *:http (LISTEN)
apache2 30922 www-data 3u IPv4 4216829 0t0 TCP *:http (LISTEN)
apache2 30923 www-data 3u IPv4 4216829 0t0 TCP *:http (LISTEN)
apache2 30924 www-data 3u IPv4 4216829 0t0 TCP *:http (LISTEN)
sshd 30948 root 3r IPv4 4217444 0t0 TCP mysitename.com:ssh->210006025170.ctinets.com:64144 (ESTABLISHED)
quali sono le cose dell'IRC? escono di nuovo dopo che li ho uccisi. Come posso risolvere questo problema e reagire? Qualcuno può spiegare la teoria di come sono stato attaccato? e in generale, come reagire dopo essere stato attaccato.
ps. Ho fatto davvero una piccola quantità di operazioni sulla mia macchina, ho appena ospitato il mio sito web lì. Fondamentalmente, ho appena cambiato le cose in / etc / apache2 e / var / www