我的虚拟服务器可能受到攻击 - 传出 TCP/IP 连接

我的虚拟服务器可能受到攻击 - 传出 TCP/IP 连接

我的 vServer(Centos 7)上出现了可疑情况。一个未知的 bash 脚本正在消耗服务器的所有内存。与“外部”存在明显的联系。

不幸的是我的 Unix 知识有限。

如何禁止用户git与外部的连接?

我如何才能知道这个 bash 脚本位于何处,以及脚本的内容是什么?

lsof -p 1577
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
bash 1577 git cwd DIR 182,395665 4096 2 /
bash 1577 git rtd DIR 182,395665 4096 2 /
bash 1577 git txt unknown /proc/1577/exe (readlink: No such file or directory)
bash 1577 git mem REG 182,395665 795648 (deleted)/var/tmp/.ICE-unix/.bash/.bash/bash (stat: No such file or directory)
bash 1577 git 0r FIFO 0,8 0t0 3801753555 pipe
bash 1577 git 1w FIFO 0,8 0t0 3801753556 pipe
bash 1577 git 2w FIFO 0,8 0t0 3801753556 pipe
bash 1577 git 3u REG 182.395665 0 5390 /tmp/.lock
bash 1577 git 4u 0000 0,9 0 4145 [eventpoll]
bash 1577 git 5r FIFO 0,8 0t0 3801755403 pipe
bash 1577 git 6w FIFO 0,8 0t0 3801755403 pipe
bash 1577 git 7r FIFO 0,8 0t0 3801755399 pipe
bash 1577 git 8w FIFO 0,8 0t0 3801755399 pipe
bash 1577 git 9u 0000 0,9 0 4145 [eventfd]
bash 1577 git 10r CHR 1,3 0t0 3801397120 /dev/null
bash 1577 git 11u IPv4 3801755495 0t0 TCP <my server IP>:56542->**blackcat.ro:http** (ESTABLISHED)

答案1

根据您现有的防火墙设置,情况可能会有所不同。但通常您应该已经iptables安装了防火墙。

(注意:如果你有firewalld,它无法阻止 IP 地址,请参阅这里禁用它并切换到 iptables)

您需要知道的第一件事是,您无法阻止对域的请求,但您可以使用 IP 来阻止。

要查找 IP,请使用nslookup。说nslookup blackcat.ro。您将获得 IP 列表,您需要阻止它们全部。您可能会看到 IPv4 和 IPv6 地址,请使用以下命令之一进行阻止。

iptables -A OUTPUT -p tcp -d <IPv4> -j DROP
ip6tables -A OUTPUT -p tcp -d <IPv6> -j DROP

完成后,保存当前配置以免丢失。

/sbin/service iptables save
/sbin/service ip6tables save

相关内容