我在Linux服务器上运行Apache。 我已经注意到下面正在运行的进程,我不期望看到,并显示stream氓。
任何人都可以请告诉我他们是什么意思?
运行ps aux | grep apache ps aux | grep apache给了我以下内容:
root 6196 0.2 0.0 86708 3100 ? Ss 04:44 0:00 sshd: apache [priv] sshd 6202 0.0 0.0 61868 1372 ? S 04:44 0:00 sshd: apache [net]
这个服务器最近被c99shell ( http://www.chr00t.com/2009/01/c99shell-security/ )脚本攻击,我跟踪并删除(据我所知)。
如果你的服务器是根源的,你应该重新安装整个服务器,如果你想确保rootkit没有留下…
另外,如果您没有修复导致您之前被植根的安全漏洞,则可能再次植根于此。
另外:如果你在互联网上运行一个公共服务器,请给予专业的帮助来pipe理它。 否则你的服务器是一个滴答作响的僵尸networking时间炸弹给其他人。
你有一个用户通过sshlogin的用户apache。 您的系统可能仍然受到威胁!
如果这些SSH进程不是你自己可以追踪的东西,那么你肯定还是有问题的(通过sshlogin为“apache”将会是一个不合常理的事情)。
我强烈build议重build机器。 如果服务器遭到黑客攻击,特别是黑客攻击者给予攻击者root权限或其他特权访问权限,那么即使原始黑客已经被清除,也不知道还有什么东西可以被掠夺。 如果你不重build,你永远不会确定不需要的东西已经消失了。
备份您的数据,擦拭机器,然后重新开始。 重新安装任何具有最新版本的第三方应用程序和脚本时要小心,并且要安全地configuration它们,并在重新安装之前检查自己的代码,以确保其中没有问题(可能是故障首先让攻击者join攻击者,或者攻击者join的一个错误,以便稍后恢复)。
你真的需要重build机器清洁。 系统一旦遭到破坏,就无法保证您移除了所有的后门,rootkit和更改。
没有
打入系统只是第一步。 之后,黑客可以上传任何东西,包括妥协根的工具,并从那里取代系统二进制文件,以便你可能有公用事业,甚至不会显示在后台进行的事情(改变ps,ls,tcpdump,lsof等),除非您正在审计来自外部系统(和IDS或防火墙/路由器)的连接,否则外部cookies将不会被检测到。
这是真正处理一旦发现妥协的唯一方法。 没有重build没有完全清理的东西。 这就是为什么你需要良好的日常备份和入侵检测工具。