我的服务器负荷大约在400及以上。 这里是服务器故障问题的链接
我能够看到rm命令和xargs在顶级输出中运行,其中我是唯一的用户login。
我试图杀死这个过程,但没有奏效。
我试图写一个iptables规则,使默认策略,并允许只有我的IP进行通信,但在这之前,iptables丢失。 我再次安装它,但它显示:
FATAL:无法加载/lib/modules/2.6.32-5-vserver-amd64/modules.dep:没有这样的文件或目录iptables v1.4.14:无法初始化iptables table`filter':表不存在你需要insmod?)也许iptables或你的内核需要升级。
当我试图closures服务器,我得到消息的时间。 重新启动也不起作用。
一旦加载下来,我执行chrootkit扫描,这里是结果。 它显示了许多缺less的模块和隐藏的文件。
Searching for suspicious files and dirs, it may take a while... The following suspicious files and directories were found: /usr/lib/pymodules/python2.6/.path /usr/lib/pymodules/python2.7/.path /usr/lib/node_modules/npm/.npmignore /usr/lib/node_modules/npm/.travis.yml /usr/lib/node_modules/npm/node_modules/fast-list/.npmignore /usr/lib/node_modules/npm/node_modules/fast-list/.travis.yml /usr/lib/node_modules/npm/node_modules/fstream/.npmignore /usr/lib/node_modules/npm/node_modules/fstream/.travis.yml /usr/lib/node_modules/npm/node_modules/graceful-fs/.npmignore /usr/lib/node_modules/npm/node_modules/lru-cache/.npmignore /usr/lib/node_modules/npm/node_modules/minimatch/.travis.yml /usr/lib/node_modules/npm/node_modules/node-uuid/.npmignore /usr/lib/node_modules/npm/node_modules/nopt/.npmignore /usr/lib/node_modules/npm/node_modules/slide/.npmignore /usr/lib/node_modules/npm/node_modules/tar/.npmignore /usr/lib/node_modules/npm/node_modules/tar/.travis.yml /usr/lib/node_modules/npm/node_modules/.bin /usr/lib/node_modules/npm/test/packages/npm-test-files/.npmignore /usr/lib/node_modules/npm/test/packages/npm-test-ignore/.npmignore /usr/lib/node_modules/npm/node_modules/.bin 检查`lkm'…你有3086进程隐藏readdir命令SIGINVISIBLE崇拜find chkproc:警告:可能的LKM木马安装
我是否需要进一步调查以确认这是一次袭击?
我怎样才能获得攻击者入侵的方式?
看起来chkrootkit不喜欢你的Node.js安装,因为它有大量的隐藏文件。 不过,大多数这些看起来正常的节点安装。 Python的看起来不正常,但这可能是因为你正在使用Debian。 检查到那些。
至于iptables的问题,你是在你的VPS提供者的摆布。 由于OpenVZ和Linux-VServer使用共享内核,因此只有在提供者为您加载的情况下才能使用iptables。 尤其是,Linux-VServer对guest虚拟机容器中的iptables的支持非常有限或根本不支持。
我希望现在你已经离开了那个糟糕的基于OpenVZ的VPS。 这当然是你所遇到的所有问题的根本原因。