Pythonスクリプトを実行するプロセスのソースを見つける[閉じる]

Pythonスクリプトを実行するプロセスのソースを見つける[閉じる]

先月から、一部のプロセスはLAMPスタックを含むcentos 6を使用して私のサーバーでPythonスクリプトを実行しています。これはスパムボットに過ぎず、サーバーリソースを占有します。下の写真を確認してください、

トップスクリーンショット

これらのPythonスクリプトを正確に実行することが何であるかをどうやって知ることができますか?

--update-- このコマンドはrootとして実行されたため、rootkit Hunter(rkhunter)を使用してシステムを調べたところ、SSHが破損していることがわかりました(可能なルートキット:Trojan SSHデーモン)。それで私は次のようにしました。

#removed ssh
chattr -aui /usr/sbin/sshd
rm -f /usr/sbin/sshd
chattr -aui /usr/bin/ssh
rm -f /usr.bin/ssh

次に、

yum erase openssh-server
yum erase openssh-clients
yum install openssh-server
yum install openssh-clients

これでrkhunterを再実行しましたが、すべてが正常です。

ありがとう

答え1

htopソースプロセスを見つけるのに役立つ場合は、画像の代わりに質問や質問のテキスト出力を投稿してください。写真よりもテキスト出力が優れています。 pstree -pps axfuw

これらのプロセスはユーザーとして実行され、スクリプトを介してスクリプトをrootダウンロードして実行しているようですperl。として実行されるスクリプトもあります。 pythonx.pybashgoroot

以下はあなたの質問に対する具体的な回答ではありませんが、そのような権限を使用したハッキン​​グに関する有用な情報を提供したいと思います。

これらすべてのスクリプトを見つけて削除することが役に立つことを確認し、間違ったプロセスも確実にシャットダウンすることができますが、システムが「ルート」になっているため、サーバー全体を調査するのに多くの時間を費やすことができ、決して完了しない可能性があります。除外項目をすべて削除します。可能なすべてのハッキング/バックドア。ルートレベルハッカーの最大の問題は、必要なものは何でも変更でき、設定を変更したり、ソフトウェアバイナリを置き換えたり、ログファイルを編集/消去したりすることです。パッケージマネージャがパッケージからインストールされているファイルを台無しにしたことを確認できる必要があります。

ハッカーが最初にどのように起動したかを確認することがより重要です。そうしないと、次のサーバーも同じ方法で破損する可能性があります。これは、システムがどれほどよく知られているかに応じて、「明らかな」ものから「決定するのが非常に困難なもの」までさまざまです。ユーザーとして実行されているプロセスを見ることができるので、rootいくつかの可能性は次のとおりです。rootユーザーが破損しているか(パスワードがわかっている)、ユーザーが破損している、公開されたsudoサービスがリモート実行を許可する、または特権の昇格の脆弱性がある可能性があります(継続している場合)。システムを最新の状態に保つと、これが起こる可能性が低くなります)。

試すことができる1つの方法は、すべての悪意のあるスクリプト()を見つけて、そのfind / -name x.pyファイルが最初に作成された時刻を確認することです。次に、作成時間が認識できない場所でシステムにログインした時間と一致することを確認します。これは、パスワードを知ってシステムにログインできたことを示します。そうでない場合は、このアクセス権を使用してシステムでどのサービスが実行されているか、およびそのサービスがroot

調査が完了したら、重要なデータをすべて保存してから、新しいオペレーティングシステムでサーバーを再インストールし、以前のシステムで使用していたパスワードを再利用しないことをお勧めします。古いデータを再ロードするよりも、新しいシステムでバックアップを使用する方が良いです(そのバックアップは別の場所にあり、ハッキングされていないことを願っています)。

関連情報