我需要一些帮助,我的服务器提供商联系我告诉我我的服务器使用200mbit / s的带宽。 经过调查,我find了一个不应该在那里的用户进程..我发现过程如下:
26269 511 Nov27 ./stealth 58.22.68.253 53 775 511 Oct12 ./eggdrop -m botnick.conf 我知道eggdrop是IRC,我的问题是,我在哪里可以find这些进程的软件安装位置?
你已经被入侵了 当然,你可以杀死进程。
首先运行/sbin/lsof | grep eggdrop /sbin/lsof | grep eggdrop和/sbin/lsof | grep stealth /sbin/lsof | grep stealth 。
您应该能够从该输出中看到可执行文件的完整path。 这将给你一个地方开始确定机器人的目录安装。
从这一点杀死进程,并继续运行标准的rootkit检测程序(rkhunter或chkrootkit )之一。
如果你有一个备份,这是一个很好的去处。 但是,如果没有,你需要确定你是如何受到攻击的,并确保没有任何东西会重新触发恶意应用程序(rc脚本,crontab等)
看看下面的post,解决受到危害的系统:
确认可疑黑客的程序? (Linux)的
我如何知道我的Linux服务器是否被黑客入侵?
被黑客攻击后对linux box进行取证分析的主要步骤是什么?