我的服务器可能被黑客入侵了。如何清除服务器中的恶意进程

tag-icon tag-icon 16.04 security process hacking
我的服务器可能被黑客入侵了。如何清除服务器中的恶意进程

我是新手,我的第一台服务器似乎被黑客入侵了。我不知道该如何清理它。有些进程占用了 CPU,但我不是它们的所有者。所有 12 个 CPU 几乎都以 100% 的速度运行。请参阅 htop 屏幕截图 服务器上的 htop

我运行了 netstat,下面是输出的摘要

sudo netstat -anolp
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name    Timer
tcp        0      0 127.0.0.1:9001          0.0.0.0:*               LISTEN      4869/java           off (0.00/0/0)
tcp        0      0 127.0.0.1:27017         0.0.0.0:*               LISTEN      15327/mongod        off (0.00/0/0)
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN      4124/mysqld         off (0.00/0/0)
tcp        0      0 127.0.0.1:9100          0.0.0.0:*               LISTEN      24415/node_exporter off (0.00/0/0)
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      16039/nginx -g daem off (0.00/0/0)
tcp        0      0 127.0.0.1:8080          0.0.0.0:*               LISTEN      5824/config.ru      off (0.00/0/0)
tcp        0      0 127.0.0.1:9168          0.0.0.0:*               LISTEN      24370/ruby          off (0.00/0/0)
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      13595/sshd          off (0.00/0/0)
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      2370/master         off (0.00/0/0)
tcp        0      0 127.0.0.1:9121          0.0.0.0:*               LISTEN      24450/redis_exporte off (0.00/0/0)
tcp        0      0 127.0.0.1:9090          0.0.0.0:*               LISTEN      24429/prometheus    off (0.00/0/0)
tcp        0      0 127.0.0.1:9187          0.0.0.0:*               LISTEN      24421/postgres_expo off (0.00/0/0)
tcp        0      1 my.ser.ver.ip:41037    172.247.116.47:2017     SYN_SENT    26521/mbb           on (57.32/6/0)
tcp        0      0 my.ser.ver.ip:45599    124.112.1.160:29135     ESTABLISHED 32265/DDosClient    off (0.00/0/0)
tcp        0      0 127.0.0.1:9001          127.0.0.1:54729         ESTABLISHED 4869/java           keepalive (2412.64/0/0)
tcp        0      0 my.ser.ver.ip:49366    31.222.161.239:8080     ESTABLISHED 14106/hald-daemon   off (0.00/0/0)
tcp        0      0 my.ser.ver.ip:57275    163.172.204.219:443     ESTABLISHED 20238/wDHnu         keepalive (45.40/0/0)
tcp        0      0 127.0.0.1:9001          127.0.0.1:54909         ESTABLISHED 4869/java           keepalive (2445.40/0/0)
tcp        0      0 my.ser.ver.ip:56654    45.125.34.159:6969      ESTABLISHED 27006/XDTQK         off (0.00/0/0)

我尝试使用 kill 及其 PID 逐个杀死它们,但过了一段时间它们又出现了。所以我检查了我的 cron,那里有一些我没有做的条目,所以我也清除了它们。我将 cron 与我刚刚启动的新盒子进行了比较。

我禁用了 root 登录,而是创建了另一个带有 pem 文件的 sudoer。现在我需要找到一种方法来彻底清除这个问题,但我缺乏经验。有人能帮帮我吗?

提前致谢

答案1

如果您 100% 确定自己被黑客入侵,最好的解决办法就是从头开始设置。

  • 当然,您也许可以修复它并取回您的机器,但之后您真的能够信任该安装吗?
  • 您知道您已经修复了他们可能安装的所有后门吗?

最重要的是让该服务器脱机,这样它就不能被攻击者利用。

当机器离线时,您可能希望诊断漏洞并从安全方面吸取教训,然后从头开始设置。我从您的屏幕截图中看到您在该机器上运行了 GitLab。这应该是您应该备份和接管的唯一数据,但在此之前,请彻底扫描它并检查数据库中是否存在可能导致新漏洞的恶意条目。

别再回放备份了,它可能仍然包含允许攻击者入侵的漏洞。

因此,请备份您的数据,然后从头开始安装这台机器,并首先重新滚动在此过程中可能已被泄露的所有密码。

很遗憾地告诉你这个消息,但这是你能采取的最佳行动方案。

相关内容