![Centosがハッキングされました。バックドアを見つける方法は? [閉鎖]](https://linux33.com/image/93045/Centos%E3%81%8C%E3%83%8F%E3%83%83%E3%82%AD%E3%83%B3%E3%82%B0%E3%81%95%E3%82%8C%E3%81%BE%E3%81%97%E3%81%9F%E3%80%82%E3%83%90%E3%83%83%E3%82%AF%E3%83%89%E3%82%A2%E3%82%92%E8%A6%8B%E3%81%A4%E3%81%91%E3%82%8B%E6%96%B9%E6%B3%95%E3%81%AF%EF%BC%9F%20%5B%E9%96%89%E9%8E%96%5D.png)
来てくれてありがとう。まず、私の英語を許してください!
VPSを借りてpptpdサーバーのみを使用しました。数日前にSSH経由で送信しましたが、何かが間違っていると感じました。最後のコマンドを入力しましたが、方向またはファイルが移動されたというエラーが発生しました。
cat /var/log/secureそして失敗したSSHマッサージをたくさん受けましたが、2〜3人は私ではないと確信している「受け入れ」を受けました。そのため、パスワードを変更して確認してみると、/etc/passwdsshdポートが1973に変更されました。すべてが正常に見えます。
rc.d/statd のような進行名を入力すると、netstat -anptポートでリッスンする場合、これが漏洩ですか、それともハッキングされたのでしょうか?
その後、ssh = 1973とpptp = 1723を除くすべての入力ポートをブロックしましたが、機能しないようです。
ユーザーなしで接続してコマンドを実行できます。
どうすればいいですか?
私が得た情報です。参考になれば幸いです。
[root@US-seven ~]# netstat -anpt
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:1973 0.0.0.0:* LISTEN 1578/sshd
tcp 0 0 0.0.0.0:1723 0.0.0.0:* LISTEN 6662/pptpd
tcp 0 0 VPS IP:56585 149.202.219.49:1520 TIME_WAIT -
tcp 0 48 VPS IP:1973 my ip:47087 ESTABLISHED 24672/sshd
tcp 0 1 VPS IP:57480 69.30.224.86:80 SYN_SENT 16610/sdpd
tcp 0 0 VPS IP:55069 149.202.219.49:1520 ESTABLISHED 27236/ls -la
tcp 0 0 VPS IP:1723 my ip:47689 ESTABLISHED 26120/pptpd [59.53.
tcp 0 1 127.0.1.1:43002 127.0.1.1:3306 SYN_SENT 16610/sdpd
tcp 0 0 VPS IP:46561 158.69.219.235:80 TIME_WAIT -
tcp 0 0 :::1973 :::* LISTEN 1578/sshd
[root@US-seven ~]# netstat -anpt
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:1973 0.0.0.0:* LISTEN 1578/sshd
tcp 0 0 0.0.0.0:1723 0.0.0.0:* LISTEN 6662/pptpd
tcp 0 1 VPS IP:57517 69.30.224.86:80 SYN_SENT 16610/sdpd
tcp 0 96 VPS IP:1973 my ip:47087 ESTABLISHED 24672/sshd
tcp 0 0 VPS IP:55069 149.202.219.49:1520 ESTABLISHED 27236/ls -la
tcp 0 1 127.0.1.1:43036 127.0.1.1:3306 SYN_SENT 16610/sdpd
tcp 0 0 VPS IP:1723 my ip:47689 ESTABLISHED 26120/pptpd [59.53.
tcp 0 0 :::1973 :::* LISTEN 1578/sshd
[root@US-seven ~]# skill -9 27236
[root@US-seven ~]# netstat -anpt
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:1973 0.0.0.0:* LISTEN 1578/sshd
tcp 0 0 0.0.0.0:1723 0.0.0.0:* LISTEN 6662/pptpd
tcp 0 1 127.0.1.1:43051 127.0.1.1:3306 SYN_SENT 16610/sdpd
tcp 0 48 VPS IP:1973 my ip:47087 ESTABLISHED 24672/sshd
tcp 0 272 VPS IP:34746 164.132.170.78:1520 ESTABLISHED 27888/pwd
tcp 0 0 VPS IP:46611 158.69.219.235:80 ESTABLISHED 27888/pwd
tcp 0 0 VPS IP:55069 149.202.219.49:1520 TIME_WAIT -
tcp 0 0 VPS IP:34740 164.132.170.78:1520 ESTABLISHED 27886/sh
tcp 0 0 VPS IP:1723 my ip:47689 ESTABLISHED 26120/pptpd [59.53.
tcp 0 1 VPS IP:57533 69.30.224.86:80 SYN_SENT 16610/sdpd
tcp 0 0 :::1973 :::* LISTEN 1578/sshd
[root@US-seven ~]# skill -9 27886
[root@US-seven ~]# skill -9 27888
[root@US-seven ~]# netstat -anpt
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:1973 0.0.0.0:* LISTEN 1578/sshd
tcp 0 0 0.0.0.0:1723 0.0.0.0:* LISTEN 6662/pptpd
tcp 0 48 VPS IP:1973 my ip:47087 ESTABLISHED 24672/sshd
tcp 0 0 VPS IP:55129 149.202.219.49:1520 TIME_WAIT -
tcp 0 0 VPS IP:46611 158.69.219.235:80 TIME_WAIT -
tcp 0 1 VPS IP:57551 69.30.224.86:80 SYN_SENT 16610/sdpd
tcp 0 1 127.0.1.1:43074 127.0.1.1:3306 SYN_SENT 16610/sdpd
tcp 0 0 VPS IP:55069 149.202.219.49:1520 TIME_WAIT -
tcp 0 0 VPS IP:34740 164.132.170.78:1520 TIME_WAIT -
tcp 0 0 VPS IP:1723 my ip:47689 ESTABLISHED 26120/pptpd [59.53.
tcp 0 0 VPS IP:34764 164.132.170.78:1520 ESTABLISHED 28211/id
tcp 0 0 :::1973 :::* LISTEN 1578/sshd
[root@US-seven ~]# netstat -anpt
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:1973 0.0.0.0:* LISTEN 1578/sshd
tcp 0 0 0.0.0.0:1723 0.0.0.0:* LISTEN 6662/pptpd
tcp 0 48 VPS IP:1973 my ip:47087 ESTABLISHED 24672/sshd
tcp 0 0 VPS IP:55129 149.202.219.49:1520 TIME_WAIT -
tcp 0 0 VPS IP:46611 158.69.219.235:80 TIME_WAIT -
tcp 0 0 VPS IP:55069 149.202.219.49:1520 TIME_WAIT -
tcp 0 0 VPS IP:34740 164.132.170.78:1520 TIME_WAIT -
tcp 0 1 VPS IP:57562 69.30.224.86:80 SYN_SENT 16610/sdpd
tcp 0 1 127.0.1.1:43083 127.0.1.1:3306 SYN_SENT 16610/sdpd
tcp 0 0 VPS IP:1723 my ip:47689 ESTABLISHED 26120/pptpd [59.53.
tcp 0 0 VPS IP:34764 164.132.170.78:1520 ESTABLISHED 28211/id
tcp 0 0 :::1973 :::* LISTEN 1578/sshd
[root@US-seven ~]# netstat -anpt
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:1973 0.0.0.0:* LISTEN 1578/sshd
tcp 0 0 0.0.0.0:1723 0.0.0.0:* LISTEN 6662/pptpd
tcp 0 240 VPS IP:1973 my ip:47087 ESTABLISHED 24672/sshd
tcp 0 1 127.0.1.1:44133 127.0.1.1:3306 SYN_SENT 16610/sdpd
tcp 0 1 VPS IP:58614 69.30.224.86:80 SYN_SENT 16610/sdpd
tcp 0 0 VPS IP:1723 my ip:47689 ESTABLISHED 26120/pptpd [59.53.
tcp 0 0 VPS IP:34764 164.132.170.78:1520 ESTABLISHED 28211/id
tcp 0 0 :::1973 :::* LISTEN 1578/sshd
そして私が実行しないいくつかのコマンドがあります。
root 2079 1 0 Aug23 ? 00:00:01 auditd
root 6662 1 0 Aug23 ? 00:00:00 /usr/sbin/pptpd
root 6728 467 0 Aug23 ? 00:00:00 /sbin/udevd -d
root 16610 1 0 Aug23 ? 00:04:57 /usr/sbin/sdpd
root 24672 1578 0 13:21 ? 00:00:00 sshd: root@pts/0
root 24734 24672 0 13:21 pts/0 00:00:00 -bash
root 26120 6662 0 13:25 ? 00:00:02 pptpd [my ip:CD78 - 0380]
root 26121 26120 0 13:25 ? 00:00:00 /usr/sbin/pppd local file /etc/ppp/options.pptpd 115200 192.168.0.1:172.24.24.100 ipparam my ip plugin
root 28211 1 0 13:30 ? 00:00:01 id
root 40702 1 0 14:02 ? 00:00:00 /usr/sbin/acpid
root 40705 1 0 14:02 ? 00:00:00 /usr/libexec/gnome-vfs-daemon
root 40709 1 0 14:02 ? 00:00:00 /lib/systemd/systemd --user
root 40713 1 0 14:02 ? 00:00:00 klogd -x
root 40714 1 0 14:02 ? 00:00:00 /lib/systemd/systemd --user
root 40722 1 0 14:02 ? 00:00:00 grep "A"
root 40724 1 0 14:02 ? 00:00:00 ifconfig
root 40727 1 0 14:02 ? 00:00:00 sh
root 40728 1 0 14:02 ? 00:00:00 cat resolv.conf
root 40729 1 0 14:02 ? 00:00:00 whoami
root 40730 24734 3 14:02 pts/0 00:00:00 ps -ef
答え1
バックドアがどこにあるか簡単に答えることはできませんが、より詳細に識別できる情報を見つけることができます。
拳:
最高のアイデアはvpsを削除し、新しいvpsを展開します。。
プロセスはrootで実行され、誰かがrootとしてアクセスしました(おそらくパスワードを推測したでしょう)。
- ルートパスワードの変更(そして強力なパスワードを使用)
- SSHキーの変更(以前/未知のキーをすべて削除
/root/.ssh/authorized_keys) - あなたのIPでのみSSHアクセスを許可する
- 最後に、カーネルを更新してください(セキュリティ上の問題がある可能性があります)。
また、サーバー上のすべてのユーザーを確認し、同じことを行います。
rpm パッケージに変更が表示されることを確認します。 - (バイナリのmd5sum、権限などが異なる場合、これは大きな問題ですrpm -aV。詳細については、sshd確認オプションのセクションを参照してください)。man rpm
以下を識別するために使用されます。
実行中のプロセスを終了するのではなく、プロセスがどこから来たのかを調べてください。起動すると、pstree親プロセスが表示されます。例えば。そしてpstree -s -p <pid>。
でいくつかの情報を見つけることができます/proc/。猫は/proc/<pid>/statusあなたに詳細な情報を提供します。プロセスで使用されているファイルを調べて、現在の作業ディレクトリへのリンクを表示できますls -l /proc/<pid>/fd。ls -l /proc/<pid>cwdプロセスによって確認された実行可能ファイルls -l /proc/<pid>/exeとパラメータへのリンクcat /proc/<pid>/command。/proc/確認すると、より多くの情報を確認できます文書もっと学ぶ。
頑張ってください:)
未来のために:
SSHでルートを無効にし、ユーザーとしてアクセスしてsudoルートに切り替えるために使用します。自分のIP以外のすべてのIPでSSHをブロックし、fail2banSSHをインストールして設定して、パスワードを推測する着信ボットをブロックします。