linux centos 5.6 seseorang menginstal irc


0

Saya butuh bantuan, penyedia server saya menghubungi saya untuk memberi tahu saya server saya menggunakan bandwidth 200mbit / s. Setelah penyelidikan saya menemukan proses untuk pengguna yang seharusnya tidak ada di sana .. Saya menemukan proses sebagai berikut:

 26269  511     Nov27   ./stealth 58.22.68.253 53
 775    511     Oct12   ./eggdrop -m botnick.conf

Saya tahu eggdrop adalah IRC, pertanyaan saya adalah, di mana saya bisa mengetahui di mana perangkat lunak telah diinstal untuk proses ini?


Lihat serverfault.com/questions/218005/… - matikan server, SEKARANG, dan lakukan analisis offline.
Andrew

Jawaban:


4

Anda telah dikompromikan. Anda dapat membunuh prosesnya, tentu saja.

Mulai dengan berlari /sbin/lsof | grep eggdropdan /sbin/lsof | grep stealth.

Anda harus dapat melihat path lengkap ke executable dari output itu. Itu akan memberi Anda tempat untuk memulai dalam hal menentukan direktori tempat bot dipasang.

Matikan proses dari titik itu dan lanjutkan untuk menjalankan salah satu program deteksi rootkit standar (rkhunter atau chkrootkit ).

Jika Anda memiliki cadangan, itu tempat yang bagus untuk dikunjungi. Tetapi jika tidak, Anda perlu menentukan bagaimana Anda dikompromikan, dan memastikan bahwa tidak ada yang akan memicu kembali aplikasi jahat (skrip rc, crontab, dll.)

Lihatlah tulisan-tulisan berikut yang membahas sistem yang dikompromikan:

Prosedur untuk mengonfirmasi dugaan peretasan? (Linux)

Bagaimana saya tahu kalau server Linux saya diretas?

Apa langkah utama melakukan analisis forensik kotak linux setelah diretas?

Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.