Кто-то взломал мою Linux-машину и запускал Perl-код, который, похоже, был своего рода ботом. На следующий день мне позвонил провайдер и сказал, что с вашего IP-адреса исходит большое количество спам-писем. Я нашел этот Perl-код в моей домашней директории.
Можете ли вы помочь мне узнать, что делает этот код и каковы повреждения моей системы.
Спасибо майк
(Да, он не отвечает на его вопросы. Это ответ на то, что ему нужно знать)
Ядерный это с орбиты ... Это единственный способ быть уверенным. Вы не можете доверять скомпрометированной системе, и ваши проблемы больше, чем бот Perl.
Это случается, хотя, но то, о чем вы знаете, является лишь верхушкой айсберга.
Так... Резервное копирование. Прямо сейчас. Я серьезно. В моем случае я сделал дамп на уровне файлов всей моей файловой системы в окно Windows, и запустил AV-сканирование на нем - которое нашло вирус. Создание образа диска было бы более увлекательным, но на момент создания образа удаленный VPS казался чем-то вроде боли.
Переустановите свою ОС. Да, это боль, но вы не знаете, что было сделано.
Настройте удаленный доступ правильно . Настройте аутентификацию на основе ключей. Отключить root-доступ через ssh. Используйте нестандартный порт. Если вы хотите, установите fail2ban и настройте его.
Теперь поговорим о расследовании. В зависимости от разновидности Linux, которую вы используете, вы, вероятно, можете отследить IP-адреса, с которых подключен злоумышленник. Это совершенно бесполезно, поскольку злоумышленник может использовать другую скомпрометированную систему, но это, вероятно, удобно, если вы хотите временно заблокировать его на брандмауэре. Вам нужно будет отсортировать записи в /var/log/audit/audit.log в redhatealikes и /var/log/auth.log в дистрибутивах на основе Ubuntu - grep может сработать, но объяснить, как это сделать, - это совсем другая книга ,
Вы также можете использовать это, чтобы узнать, когда пришел злоумышленник, и, возможно, проверить, какие файлы были изменены тогда - этот вопрос U & L кажется хорошим началом.
Тот факт, что его сценарий явно скопирован, говорит о том, что злоумышленник не очень опытен. Это хорошо, поскольку урон ограничен, но плохо в том смысле, что он может не знать, что делают все его инструменты.
Он подключит вас к IRC-серверу, определенному в переменной $server , введет вас в канал #ddos и примет любую команду, определенную в массиве @admins .
Действительно, то, что говорит ваш провайдер, более чем вероятно, поскольку есть команда mail , поэтому вы, вероятно, стали спамером, контролируемым теми, кто вас взломал.
Есть много других команд, позволяющих делать много вещей, так как у вас нет файла журнала того, что они на самом деле работают, я бы посчитал этот компьютер ненадежным и переустановил его (хотя я бы вначале изучил, как вас взломали, хотя ), поскольку у них даже есть команда для запуска любой команды оболочки.
Сначала вы можете отключить сетевой интерфейс, чтобы не причинить вреда, а затем войти в систему и попытаться выяснить, что произошло.
