Помогите! Мой сервер был взломан - .IptabLes и .IptabLex в / boot [закрыто]

Я использую Ubuntu 6.06 dapper server, и он был взломан. Я сразу признаю, что я программист, а не системный администратор, поэтому, хотя я работал с Unix / Linux в течение многих лет, мои навыки как системного администратора крайне слабы.

Я размещаю веб-сайт под управлением Apache 2 и Tomcat для обслуживания веб-приложения Struts на основе Java. Производительность сайта становилась очень плохой, и после того, как я попытался понять, в чем может быть проблема, я обнаружил, что временный каталог в моем домашнем каталоге заполняется файлами с именем getsetup.hb. *

Это было новый, поэтому я немного покопался и, запустив ps -ef, обнаружил, что запущена пара процессов, о которых я не знал, и выглядела немного странно для меня, /boot/.IptabLes и /boot/.IptabLex

Я искал в сети информацию о том, что это за файлы, и попытался запустить netstat, чтобы увидеть, какие внешние хосты были подключены. И .IptabLes, и .IptabLex были подключены к IP-адресам, принадлежавшим China Telecom.

Это было для меня шоком, потому что у меня было настроено программное обеспечение брандмауэра iptables, чтобы оно разрешало только подключения к веб-серверу через порт 80, а ssh на порту 22 был ограничен статическим IP-адресом, который я использую дома, чтобы я мог получить доступ к сервер удаленно.

Я убил процессы, удалил файлы из каталога / boot, а также нашел копии в корне и в / usr, которые я удалил. Я также изменил пароль root.

Сегодня снова войдя в систему, я вижу, что все файлы снова вернулись, и соединение с IP-телефонами China Telecom было восстановлено.

Я понятия не имею, как действовать здесь. Пожалуйста, прости мое невежество, но я надеюсь, что кто-то может подсказать мне, как действовать отсюда, чтобы решить эту проблему. Любые предложения приветствуются.

Заранее спасибо.

Mike

3
задан 05.05.2020, 16:50

2 ответа

Я бы сделал, как было предложено в комментариях выше, но помните, перевести сервер в автономный режим , так как если он был добавлен в ботнет, он не будет атаковать другие машины и проходить через другие. через что ты проходишь

Удалите файлы, и, если на вашем компьютере установлен ftp / ssh, удалите также все эти файлы конфигурации *, поскольку они, вероятно, будут содержать ключи RSA и т. Д., Поэтому, кто бы ни взламывал его, ему не нужен пароль. Но это не решит проблему, только переустановка сделает это:

* Файлы конфигурации будут в .ssh/ и т. Д. В ваших домашних директориях, которые также могут быть в /root, / и т. Д.

0
ответ дан 05.05.2020, 16:50
  • 1
    Спасибо за Ваши предложения, I' ll выводят сервер из эксплуатации и устанавливают последнюю версию Ubuntu. Веб-приложение может быть восстановлено из источника так помимо данных в базе данных нет ничего иного I' ll должен создать резервную копию. – SergeyA 05.05.2020, 16:51
  • 2
    Удачи!;-), Это, надо надеяться, быть легкими, можно загрузить новую версию от здесь . – PrograMed IP 05.05.2020, 16:51

Как сказал Томас в комментарии 6.06, это ПУТЬ после конца жизни. Вы должны нанять парня из Linux как можно скорее и помочь вам с процессом обновления.

А пока не паникуй! Расслабьтесь и прочитайте следующие популярные темы:

Откуда вы знаете, что ваш сервер был взломан?

Как узнать, что мой сервер Linux был взломан ?

Надеемся, вы найдете лучший способ справиться с вашим скомпрометированным сервером, прочитав следующий канонический вопрос:

Как мне работать с скомпрометированным сервером?

Удачи!

0
ответ дан 05.05.2020, 16:51
  • 1
    Спасибо Achu - Ваше сострадание при этих обстоятельствах ценится, I' ll прилагают все усилия! – Obi Wan - PallavJha 05.05.2020, 16:51
  • 2
    Существует изображение здесь , если Вы обращаетесь к Hitchiker' s Руководство По Galaxy' s Don' t Паника: D – Obi Wan - PallavJha 05.05.2020, 16:52
  • 3
    Нет, я взял его от здесь : D – JimB 05.05.2020, 16:52

Теги

Похожие вопросы