Rogue processess in Linux

Sto eseguendo Apache sul server Linux. Ho notato i seguenti processi in esecuzione che non mi aspetto di vedere, e sembrano ingannati.

Può chiunque mi prego di consigliarmi che cosa significano?

Funzionamento ps aux | grep apache ps aux | grep apache mi ha dato quanto segue:

 root 6196 0.2 0.0 86708 3100 ? Ss 04:44 0:00 sshd: apache [priv] sshd 6202 0.0 0.0 61868 1372 ? S 04:44 0:00 sshd: apache [net] 

Il server è stato recuperato di recente da script c99shell ( http://www.chr00t.com/2009/01/c99shell-security/ ) che ho tracciato e rimosso (per quanto ne so).

  • Come faccio a uccidere processi più vecchi di "t"?
  • Problema con msiexec.exe che si blocca quando si installa / disinstalla
  • Ricevere un'email quando un process UNIX non riesce
  • % CPU per un process
  • Imansible uccidere il process in Windows 7
  • Il modo migliore per uccidere i processi di Zombie e D in Linux
  • Come trovare i processi in esecuzione in passato?
  • Trova (e uccidi) i vecchi processi
  • 4 Solutions collect form web for “Rogue processess in Linux”

    Se il server è stato radicato, è necessario reinstallare l'integer server se si desidera essere certi che il rootkit non sia rimasto …

    Inoltre, è ansible che tu sia nuovamente radicato se non hai risolto la perdita di sicurezza che ha portto a essere radicato prima.

    Inoltre: se stai eseguendo un server pubblico su Internet, ti preghiamo di get un aiuto professionale per l'amministrazione. Altrimenti il ​​tuo server è una bomba a tempo botnet ticking per tutti gli altri.

    Hai qualcuno collegato tramite ssh come utente apache. Il sistema è probabilmente ancora compromesso!

    Hai sicuramente ancora un problema se questi processi SSH non sono qualcosa che puoi tracciare da te (e accedere come "apache" tramite ssh sarebbe una cosa insolita da fare per qualsiasi ragione legittima).

    Vorrei fortemente suggerire la ricostruzione della macchina. Se il server è stato hackato, specialmente se il hack ha dato la radice dell'attaccante o un altro accesso privilegiato, non sai quale altro potrebbe essere ferretizzato anche se l'hack originale è stato pulito via. Se non ricostruisci non sarai mai sicuro che tutto ciò che è indesiderato è andato.

    Eseguire il backup dei dati, pulire la macchina e avviare nuovamente. Fare attenzione quando si reinstalla applicazioni e script di terze parti che dispongono delle ultime versioni e le configurano in modo sicuro e rivedere il proprio codice prima di riportrlo anche per assicurarsi che non ci siano problemi (sia un errore che potrebbe avere lasciare l'attaccante in primo luogo, o un errore aggiunto dall'attaccante una volta per rendere più facile tornare in seguito).

    Hai davvero bisogno di ribuild la macchina pulita. Una volta che un sistema è compromesso, non c'è garanzia di aver rimosso tutte le porte posteriori, i rootkit e le alterazioni.

    Nessuna

    Il rompersi nel sistema è solo il primo passo. Dopo di che il cracker avrebbe potuto caricare qualsiasi cosa, inclusi strumenti per compromettere la radice e da qui sostituire i binari del sistema in modo da poter avere utility che non mostreranno nemless le cose in background (alterato ps, ls, tcpdump, lsof ecc. .) e quindi fuori dai cracker non verranno rilevati a less che non si stia controllando le connessioni da un sistema esterno (e IDS o dal firewall / router).

    Questo è l'unico modo per affrontare veramente un compromesso una volta scoperto. Non esiste una cosa che sia completamente pulita senza una ricostruzione. Ecco perché hai bisogno di buoni backup di routine e strumenti di rilevamento delle intrusioni.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.