web-dev-qa-db-ja.com

私のサーバーは潜在的にハッキングされました。不正プロセスからサーバーを削除する方法

私は初心者で、最初のサーバーがハッキングされたようです。私はそれをきれいにする方法がわかりません。所有者ではないCPUを占有するプロセスがあります。 12個のCPUすべてがほぼ100%で実行されています。親切にhtopスクリーンショットをご覧ください サーバーのhtop

Netstatを実行しましたが、出力の概要は次のとおりです

Sudo netstat -anolp
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name    Timer
tcp        0      0 127.0.0.1:9001          0.0.0.0:*               LISTEN      4869/Java           off (0.00/0/0)
tcp        0      0 127.0.0.1:27017         0.0.0.0:*               LISTEN      15327/mongod        off (0.00/0/0)
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN      4124/mysqld         off (0.00/0/0)
tcp        0      0 127.0.0.1:9100          0.0.0.0:*               LISTEN      24415/node_exporter off (0.00/0/0)
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      16039/nginx -g daem off (0.00/0/0)
tcp        0      0 127.0.0.1:8080          0.0.0.0:*               LISTEN      5824/config.ru      off (0.00/0/0)
tcp        0      0 127.0.0.1:9168          0.0.0.0:*               LISTEN      24370/Ruby          off (0.00/0/0)
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      13595/sshd          off (0.00/0/0)
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      2370/master         off (0.00/0/0)
tcp        0      0 127.0.0.1:9121          0.0.0.0:*               LISTEN      24450/redis_exporte off (0.00/0/0)
tcp        0      0 127.0.0.1:9090          0.0.0.0:*               LISTEN      24429/prometheus    off (0.00/0/0)
tcp        0      0 127.0.0.1:9187          0.0.0.0:*               LISTEN      24421/postgres_expo off (0.00/0/0)
tcp        0      1 my.ser.ver.ip:41037    172.247.116.47:2017     SYN_SENT    26521/mbb           on (57.32/6/0)
tcp        0      0 my.ser.ver.ip:45599    124.112.1.160:29135     ESTABLISHED 32265/DDosClient    off (0.00/0/0)
tcp        0      0 127.0.0.1:9001          127.0.0.1:54729         ESTABLISHED 4869/Java           keepalive (2412.64/0/0)
tcp        0      0 my.ser.ver.ip:49366    31.222.161.239:8080     ESTABLISHED 14106/hald-daemon   off (0.00/0/0)
tcp        0      0 my.ser.ver.ip:57275    163.172.204.219:443     ESTABLISHED 20238/wDHnu         keepalive (45.40/0/0)
tcp        0      0 127.0.0.1:9001          127.0.0.1:54909         ESTABLISHED 4869/Java           keepalive (2445.40/0/0)
tcp        0      0 my.ser.ver.ip:56654    45.125.34.159:6969      ESTABLISHED 27006/XDTQK         off (0.00/0/0)

PIDを1つずつキルすることで、それらを殺そうとしましたが、しばらくしてから再び現れました。だから私は自分のcronをチェックしました、そして、私はそうしなかったいくつかのエントリーがあったので、私もそれらをクリアします。 cronを起動したばかりの新しいボックスと比較しました。

ルートログインを無効にし、代わりにpemファイルで別のsudoerを作成しました。今、私はこれを一度だけきれいにする方法を見つける必要があり、経験が不足しています。誰でも私を助けてくれますか?

前もって感謝します

1
highjo

ハッキングされたことを100%確信している場合、最善の対処方法はゼロからセットアップすることです。

  • おそらくそれを修正してマシンを取り戻すことはできますが、後でそのインストールを本当に信頼できるでしょうか?
  • インストールされている可能性のあるすべてのバックドアを修正したことをご存知ですか?

そして最も重要なのは、そのサーバーをオフラインにして、攻撃者の目的に使用できないようにすることです。

マシンが一般向けにオフラインになっている間に、セキュリティ上の賢明な方法で違反を診断し、ゼロからセットアップすることができます。スクリーンショットから、そのマシンでGitLabが実行されていることがわかります。これは、バックアップして引き継ぐ必要がある唯一のデータである必要がありますが、完全にスキャンして、新しい違反を許可する不正なエントリがないかデータベースをチェックする前ではありません。

また、バックアップを再生することを忘れてください。これには、攻撃者が侵入することを可能にするホールがまだ含まれている可能性があります。

したがって、データをバックアップしてから、このマシンを最初からインストールし、その過程で同様に侵害された可能性があるすべてのパスワードを再ロールします。

これを教えてすみませんが、それはあなたが取ることができる最善の行動です。

1
Videonauth