Saya butuh bantuan, penyedia server saya menghubungi saya untuk memberi tahu saya server saya menggunakan bandwidth 200mbit / s. Setelah penyelidikan saya menemukan proses untuk pengguna yang seharusnya tidak ada di sana .. Saya menemukan proses sebagai berikut:
26269 511 Nov27 ./stealth 58.22.68.253 53
775 511 Oct12 ./eggdrop -m botnick.conf
Saya tahu eggdrop adalah IRC, pertanyaan saya adalah, di mana saya bisa mengetahui di mana perangkat lunak telah diinstal untuk proses ini?
Jawaban:
Anda telah dikompromikan. Anda dapat membunuh prosesnya, tentu saja.
Mulai dengan berlari
/sbin/lsof | grep eggdrop
dan/sbin/lsof | grep stealth
.Anda harus dapat melihat path lengkap ke executable dari output itu. Itu akan memberi Anda tempat untuk memulai dalam hal menentukan direktori tempat bot dipasang.
Matikan proses dari titik itu dan lanjutkan untuk menjalankan salah satu program deteksi rootkit standar (rkhunter atau chkrootkit ).
Jika Anda memiliki cadangan, itu tempat yang bagus untuk dikunjungi. Tetapi jika tidak, Anda perlu menentukan bagaimana Anda dikompromikan, dan memastikan bahwa tidak ada yang akan memicu kembali aplikasi jahat (skrip rc, crontab, dll.)
Lihatlah tulisan-tulisan berikut yang membahas sistem yang dikompromikan:
Prosedur untuk mengonfirmasi dugaan peretasan? (Linux)
Bagaimana saya tahu kalau server Linux saya diretas?
Apa langkah utama melakukan analisis forensik kotak linux setelah diretas?
sumber