我在 Linux 服务器上运行 Apache。我注意到以下进程正在运行,这是我不希望看到的,并且似乎是恶意的。
谁能告诉我它们的意思?
跑步ps aux | grep apache给了我以下收获:
root 6196 0.2 0.0 86708 3100 ? Ss 04:44 0:00 sshd: apache [priv]
sshd 6202 0.0 0.0 61868 1372 ? S 04:44 0:00 sshd: apache [net]
该服务器最近遭到黑客攻击外壳(http://www.chr00t.com/2009/01/c99shell-security/) 脚本,我已追踪并删除该脚本(据我所知)。
答案1
如果你的服务器已被 root,你应该如果您想确保没有任何 rootkit 残留,请重新安装整个服务器...
此外,如果您没有修复导致之前被 root 的安全漏洞,那么您很可能再次被 root。
另外:如果您在互联网上运行公共服务器,请寻求专业帮助来管理它。否则,您的服务器对其他人来说就是一颗定时炸弹。
答案2
有人以 apache 用户身份通过 ssh 登录。您的系统可能仍然受到威胁!
答案3
如果您无法将这些 SSH 进程追溯到自己,那么您肯定仍然会遇到问题(并且出于任何合法原因,通过 ssh 以“apache”身份登录都是不寻常的事情)。
我强烈建议重建机器。如果服务器被黑客入侵,尤其是如果黑客让攻击者获得了 root 或其他特权访问权限,即使最初的黑客行为已被清除,您也不知道它还可能搜出什么。如果不重建,您将永远无法确定所有不需要的东西都消失了。
备份数据,清除机器,然后重新开始。重新安装任何第三方应用程序和脚本时,请务必小心,确保您使用的是最新版本并对其进行了安全配置,并在重新安装之前检查您自己的代码,以确保其中没有问题(无论是可能让攻击者首先进入的错误,还是攻击者曾经添加的错误,以便以后更容易重新进入)。
答案4
你确实需要彻底重建机器。一旦系统受到威胁,就无法保证你删除了所有后门、rootkit 和更改。
没有任何
侵入系统只是第一步。之后,破解者可以上传任何东西,包括用于危害 root 的工具,并从那里替换系统二进制文件,这样您可能拥有甚至不会显示后台正在发生的事情的实用程序(更改的 ps、ls、tcpdump、lsof 等),然后除非您正在审核来自外部系统(和 IDS 或防火墙/路由器)的连接,否则外部破解者将不会被检测到。
这是真正处理已发现的入侵的唯一方法。没有重建就不可能完全清除。这就是为什么你需要良好的常规备份和入侵检测工具。