Processo di overflow del buffer nel mio server (Come rilevare il rootkit)? [duplicare]

-1

Oggi aggiorno il mio server web su Cent OS 6 e come questo se vedi in alto

 2593 root      20   0  196m 5228  212 S 730.6  0.1 484:18.06 wjeackglrl
 8648 bitrix    20   0  399m  85m 7580 R 42.5  2.2   0:23.72 php
 2184 mysql     20   0 2386m 1.0g 5820 S  9.6 26.5   6:24.16 mysqld
   13 root      20   0     0    0    0 S  2.3  0.0   0:40.89 ksoftirqd/2
   17 root      20   0     0    0    0 S  2.0  0.0   0:42.32 ksoftirqd/3
   21 root      20   0     0    0    0 S  2.0  0.0   0:42.08 ksoftirqd/4
   25 root      20   0     0    0    0 S  2.0  0.0   0:40.31 ksoftirqd/5
   29 root      20   0     0    0    0 S  2.0  0.0   0:39.51 ksoftirqd/6
    4 root      20   0     0    0    0 S  1.7  0.0   0:32.24 ksoftirqd/0
   33 root      20   0     0    0    0 S  1.7  0.0   0:34.97 ksoftirqd/7
    9 root      20   0     0    0    0 S  1.3  0.0   0:37.43 ksoftirqd/1
    1 root      20   0 19352 1536 1212 S  0.0  0.0   0:06.73 init
    2 root      20   0     0    0    0 S  0.0  0.0   0:00.00 kthreadd
    3 root      RT   0     0    0    0 S  0.0  0.0   0:00.13 migration/0
    5 root      RT   0     0    0    0 S  0.0  0.0   0:00.00 stopper/0
    6 root      RT   0     0    0    0 S  0.0  0.0   0:00.08 watchdog/0
    7 root      RT   0     0    0    0 S  0.0  0.0   0:00.12 migration/1

Root procecc kill wjeackglrl il mio sistema sul web server e molto molto lento. Sto uccidendo processo, ma il server web è stupido. Come cercare questo rootkit sul sistema?

    
posta Vasilyuk Dmitry 17.03.2017 - 12:14
fonte

1 risposta

3

Al posto tuo, vorrei riprovare il tutto.

Qualunque cosa sia, è root e potrebbe aver fatto un numero qualsiasi di cose da provare e persistere sul tuo server.

Dato che si parla di questo su un server web, si dovrebbe probabilmente considerare eventuali certificati TLS e le loro chiavi private compromesse e prendere i provvedimenti necessari per farli revocare.

Se hai auditd in atto, potrebbero esserci alcuni registri che mostrano cosa si sarebbe potuto fare, ma ancora una volta, dato che questo è root, potrebbero esserci domande su quanto sarebbe affidabile tale registrazione.

Se stavi seriamente considerando di indagare, idealmente, dovresti fare una copia dell'intero disco e, se possibile, un dump della memoria. Potresti usare qualcosa come sysdig e Falco per cercare di ottenere qualche intuizione senza dover scaricare nulla, ma l'intuizione sarà probabilmente limitata (e di nuovo, l'autore dell'attacco ha la radice, quindi potrebbe influire su ciò che vedi).

Ma questo sarebbe solo per la vostra soddisfazione, e (almeno per me) non cambierebbe il fatto che avreste bisogno di reinstallare l'intero sistema da zero.

    
risposta data 17.03.2017 - 12:22
fonte

Leggi altre domande sui tag