昨天,我的 vServer 因负载异常而被提供商关闭。他们告诉我有多个名为 dtdfs 的进程正在运行。我还在日志中看到网络流量很大。我现在更改了所有密码并重新启动了服务器。我还尝试查找名为“dtdfs”的程序,但没有成功。我也在日志中 grep 了该名称,但没有成功。
我没有手动安装任何进程日志记录应用程序(它是 Debian 系统)。它不是一个非常重要的服务器(只是一个托管一些 git repos 的开发服务器),但我想从中学习并找出发生了什么。我应该从哪里开始?那个 dtdfs 进程怎么样?之后有没有办法获取有关该进程的更多信息?
答案1
/tmp/dtdfs 从您的 /tmp 运行,我也在同一时间/日期在多个系统上发现它,结果证明是 proftpd 漏洞,而 dtdfs 是 /tmp 中运行的僵尸网络洪泛程序的一部分。其中编码的 ip 追溯到一个英国地址,如果您有 plesk 服务器,那么 parallels 几天前就发布了它的修补程序。如果它只是 debian 或 ubuntu 上的独立 proftpd,那么 proftpd 的站点几天前也发布了修补程序。如果您根本不使用这些服务,最好不要运行它们,或者在需要时打开它,通常 proftpd 在我看来一直都很好,直到这次。
答案2
当一个进程正在运行时,/proc/{pid}/exe它是一个指向它最初运行的可执行文件的符号链接,但事后你几乎没有什么运气。
至于这个神秘的“dtdfs”,它可以是任何东西,甚至/bin/ls......一个进程可以更改其命令行ps在它启动之后,如果您的提供商正在使用它进行调查,那么它可能就会被看到。
答案3
我在 /tmp 中的两个系统上找到了它。由于您在查找之前重新启动了,因此找不到它。我尚未弄清楚我是如何被黑客入侵的,但这两个系统都运行着 proftpd。
答案4
我在 Debian bugtraq ML 的一个链接中看到了这个黑客攻击。今天下午或明天我将嗅探连接以找到它尝试连接的网站... 之后我会发布一些新闻!