Как обнаружить вредоносный скрипт на моем сервере CentOS?

Меня предупредил провайдер VPS, что мой сервер посылает много SSH SYN-атак на другие серверы, но я не знаю, как с этим бороться.

Вот подробности, которые мой провайдер прислал мне:

введите описание здесь

  1. Где я могу найти журналы, которые записывают все эти атаки на моем сервере?
  2. Как мне разобраться с этим (найти скрипт, который отправляет эти запросы) шаг за шагом?

1 ответ

Наконец-то я нахожу сценарий.

  1. ps -ef Я нашел 10 процессов с именем ./u2000 &Я думал, что это было зашито.
  2. ls -l /prod/PID/exe Я нахожу это ссылки на Tomcat/bin/u2000,
  3. Я никогда не знаю такого в Tomcat, поэтому просто удаляю его и останавливаю все его процессы.
  4. Отключить веб-консоль tomcat и пользователей.
  5. Измените tomcat dir на отдельного пользователя с ограниченными правами.
Другие вопросы по тегам