linux centos 5.6 кто-то установил irc

Question

linux centos 5.6 кто-то установил irc

Мне нужна помощь, мой провайдер сервера связался со мной и сказал, что мой сервер использует пропускную способность 200 Мбит / с. После расследования я обнаружил процессы для пользователя, которых там быть не должно.. Я обнаружил процессы следующим образом:

 26269  511     Nov27   ./stealth 58.22.68.253 53
 775    511     Oct12   ./eggdrop -m botnick.conf

Я знаю, что eggdrop - это IRC, мой вопрос: где я могу узнать, где установлено программное обеспечение для этих процессов?

0

linux hacking irc

Источник

Peter 28 ноя '11 в 01:16

1 ответ

Другие вопросы по тегам linux hacking irc

ewwhite 28 ноя '11 в 01:28 2011-11-28 01:28 · Answer 1 · 2011-11-28 01:28

Вы были скомпрометированы. Вы можете убить процессы, конечно.

Начните с запуска /sbin/lsof | grep eggdrop а также /sbin/lsof | grep stealth,

Вы должны быть в состоянии увидеть полные пути к исполняемым файлам из этого вывода. Это даст вам возможность начать с определения каталогов, в которые были установлены боты.

Завершите процессы с этой точки и запустите одну из стандартных программ обнаружения руткитов (rkhunter или chkrootkit).

Если у вас есть резервная копия, это хорошее место, чтобы пойти. Но если нет, вам нужно определить, как вы были скомпрометированы, и убедиться, что нет ничего, что будет повторно запускать вредоносные приложения (rc-скрипты, crontab и т. Д.)

Взгляните на следующие посты, посвященные взломанным системам:

Процедуры подтверждения подозреваемого взлома? (Linux)

Как я узнаю, что мой Linux-сервер был взломан?

Каковы основные этапы судебной экспертизы linux box после того, как он был взломан?