私は初心者で、最初のサーバーがハッキングされたようです。私はそれをきれいにする方法がわかりません。所有者ではないCPUを占有するプロセスがあります。 12個のCPUすべてがほぼ100%で実行されています。親切にhtopスクリーンショットをご覧ください サーバーのhtop
Netstatを実行しましたが、出力の概要は次のとおりです
Sudo netstat -anolp
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name Timer
tcp 0 0 127.0.0.1:9001 0.0.0.0:* LISTEN 4869/Java off (0.00/0/0)
tcp 0 0 127.0.0.1:27017 0.0.0.0:* LISTEN 15327/mongod off (0.00/0/0)
tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 4124/mysqld off (0.00/0/0)
tcp 0 0 127.0.0.1:9100 0.0.0.0:* LISTEN 24415/node_exporter off (0.00/0/0)
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 16039/nginx -g daem off (0.00/0/0)
tcp 0 0 127.0.0.1:8080 0.0.0.0:* LISTEN 5824/config.ru off (0.00/0/0)
tcp 0 0 127.0.0.1:9168 0.0.0.0:* LISTEN 24370/Ruby off (0.00/0/0)
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 13595/sshd off (0.00/0/0)
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 2370/master off (0.00/0/0)
tcp 0 0 127.0.0.1:9121 0.0.0.0:* LISTEN 24450/redis_exporte off (0.00/0/0)
tcp 0 0 127.0.0.1:9090 0.0.0.0:* LISTEN 24429/prometheus off (0.00/0/0)
tcp 0 0 127.0.0.1:9187 0.0.0.0:* LISTEN 24421/postgres_expo off (0.00/0/0)
tcp 0 1 my.ser.ver.ip:41037 172.247.116.47:2017 SYN_SENT 26521/mbb on (57.32/6/0)
tcp 0 0 my.ser.ver.ip:45599 124.112.1.160:29135 ESTABLISHED 32265/DDosClient off (0.00/0/0)
tcp 0 0 127.0.0.1:9001 127.0.0.1:54729 ESTABLISHED 4869/Java keepalive (2412.64/0/0)
tcp 0 0 my.ser.ver.ip:49366 31.222.161.239:8080 ESTABLISHED 14106/hald-daemon off (0.00/0/0)
tcp 0 0 my.ser.ver.ip:57275 163.172.204.219:443 ESTABLISHED 20238/wDHnu keepalive (45.40/0/0)
tcp 0 0 127.0.0.1:9001 127.0.0.1:54909 ESTABLISHED 4869/Java keepalive (2445.40/0/0)
tcp 0 0 my.ser.ver.ip:56654 45.125.34.159:6969 ESTABLISHED 27006/XDTQK off (0.00/0/0)
PIDを1つずつキルすることで、それらを殺そうとしましたが、しばらくしてから再び現れました。だから私は自分のcronをチェックしました、そして、私はそうしなかったいくつかのエントリーがあったので、私もそれらをクリアします。 cronを起動したばかりの新しいボックスと比較しました。
ルートログインを無効にし、代わりにpemファイルで別のsudoerを作成しました。今、私はこれを一度だけきれいにする方法を見つける必要があり、経験が不足しています。誰でも私を助けてくれますか?
前もって感謝します
ハッキングされたことを100%確信している場合、最善の対処方法はゼロからセットアップすることです。
そして最も重要なのは、そのサーバーをオフラインにして、攻撃者の目的に使用できないようにすることです。
マシンが一般向けにオフラインになっている間に、セキュリティ上の賢明な方法で違反を診断し、ゼロからセットアップすることができます。スクリーンショットから、そのマシンでGitLabが実行されていることがわかります。これは、バックアップして引き継ぐ必要がある唯一のデータである必要がありますが、完全にスキャンして、新しい違反を許可する不正なエントリがないかデータベースをチェックする前ではありません。
また、バックアップを再生することを忘れてください。これには、攻撃者が侵入することを可能にするホールがまだ含まれている可能性があります。
したがって、データをバックアップしてから、このマシンを最初からインストールし、その過程で同様に侵害された可能性があるすべてのパスワードを再ロールします。
これを教えてすみませんが、それはあなたが取ることができる最善の行動です。