Intereting Posts
Устранение блокировок таймера блокировки Ethernet копирование файлов из одного каталога в другой Возможность легко переключаться между каталогами в разных областях Использование xcape + xmodmap для изменения некоторых ключей Watch: печать только на экране, если результат изменился с момента последнего выхода сделать мой режим отображения zsh в режиме vi Не удалось найти пакеты для RHEL 6.8 Как запустить приложение в другом рабочем пространстве? iptables: множественные исключения при перенаправлении портов Awk – выводит вторую строку из нескольких файлов .dat в один файл Почему curl дает мне html вместо файла? Как добавить новый текст после каждой строки с использованием команды оболочки? Где можно установить локальное программное обеспечение, которое работает до / usr? Bash всегда выводит меньше, как я могу отключить это? Загрузочный диск с несколькими изображениями Grub 2 загружает некоторые изображения, но перезапускается на других

Веб-сервер скомпрометирован, запущены странные процессы

Таким образом, в настоящее время мой сервер debian генерирует большой объем исходящего трафика. Скорее всего, скомпрометирован и используется для атаки на другие цели.

Верхняя команда показывает это

PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 15913 www-data 20 0 23268 920 696 R 7.0 0.1 525:25.24 - 10960 www-data 20 0 23268 2272 748 R 6.7 0.2 6137:34 - 10963 www-data 20 0 23268 2224 736 R 6.7 0.2 116:30.51 - 10972 www-data 20 0 23268 2368 736 R 6.7 0.2 116:16.23 - 10975 www-data 20 0 23268 2312 736 R 6.7 0.2 116:16.52 - 13509 www-data 20 0 10416 188 168 R 6.7 0.0 1242:09 64 15916 www-data 20 0 23268 2344 744 R 6.7 0.2 116:21.48 - 15925 www-data 20 0 23268 2336 744 R 6.7 0.2 116:21.37 - 15928 www-data 20 0 23268 2264 744 R 6.7 0.2 116:21.44 - 17906 www-data 20 0 23268 2276 748 R 6.7 0.2 115:09.06 - 18191 www-data 20 0 10416 224 204 R 6.7 0.0 275:54.55 64 17893 www-data 20 0 23268 2288 748 R 6.3 0.2 115:09.14 - 19789 www-data 20 0 23268 1124 708 R 6.3 0.1 19:33.81 - 26644 www-data 20 0 258m 17m 7108 S 4.7 1.7 0:09.78 apache2 26754 www-data 20 0 256m 11m 4900 R 3.0 1.1 0:00.72 apache2 2832 mysql 20 0 748m 75m 3012 S 1.7 7.5 194:48.84 mysqld 17890 www-data 20 0 29440 2456 852 S 0.7 0.2 8:26.73 - 17903 www-data 20 0 29440 2452 852 S 0.7 0.2 8:27.18 - 19786 www-data 20 0 29440 2452 852 S 0.7 0.2 6:03.52 - 19773 www-data 20 0 29440 2452 852 S 0.3 0.2 6:03.28 - 19776 www-data 20 0 23268 2304 708 S 0.3 0.2 1:05.50 - 20044 www-data 20 0 23268 2364 708 S 0.3 0.2 1:02.34 - 26760 www-data 20 0 23268 2332 712 S 0.3 0.2 1520:05 - 26765 tyron 20 0 79820 1608 780 S 0.3 0.2 0:00.05 sshd 27145 www-data 20 0 23268 2368 696 S 0.3 0.2 4:00.71 - 1 root 20 0 10656 124 100 S 0.0 0.0 0:04.71 init 2 root 20 0 0 0 0 S 0.0 0.0 0:00.00 kthreadd 

Каковы эти процессы, которые имеют «-» как команду? Как я могу отслеживать источник? Видимо, атака происходит через HTTP-сервер, так как www-data является пользователем, но как? Зачем? где? оо

Вы можете начать поиск исполняемого файла, используя следующую команду:

ls -l / proc // exe

Затем вы можете найти, кто его создал (родительский PID), выполнив команду ниже

ps -p -o ppid =: wq

И ищите, пока не найдете отправную точку.

Вы также можете проверить общие точки автоматического выполнения, такие как сценарии инициализации, глобальные и пользовательские задания cron, скрипты, файлы rc.local. Добавив еще 1 вещь, которая проверяет Google, есть много сообщений на том же