Задать вопрос
Volgarastraport
@Volgarastraport

Хакнули сервер, как избавиться от майнеров?

На трёх VPS серверах установлена CyberPanel и вероятно взломали через неё, была новость, но не успел обновится. Заметил что по htop CPU 100%. B htop процессы от kinsing. Погулил, есть статьи и на Хабре https://habr.com/ru/articles/582830/
Но победить заразу удалось только на одном сервере. На остальных два, несмотря на замены файлов, паролей SSH, каждый день проблема возвращается. Никаких CRON процессов на уровне сервера нет, либо я их не нахожу.

Ну и ситуация сильно усугубляется тем, что почему-то блокируется доступ по SHH. Сервер сбрасывает доступ постоянно. Только если перезагрузить сервер на уровне хостера, то на 10-12 минут удается войти и что-то сделать.
  • Вопрос задан
  • 567 просмотров
Подписаться 2 Простой 1 комментарий
Пригласить эксперта
Ответы на вопрос 3
ky0
@ky0
Миллиардер, филантроп, патологический лгун
Восстановить сервисы из бэкапов на новых, чистых виртуалках. Никаких панелей, разумеется, не ставить.
Ответ написан
CityCat4
@CityCat4 Куратор тега Информационная безопасность
//COPY01 EXEC PGM=IEBGENER
Как обычно.

Все существующие машины - фтопку. Развернуть новые, раскатать бэкап. Не ставить никаких панелей - панели - зло! Управление только по ssh, с ограничением по списку IP и по ключам, никаких паролей.
Ответ написан
Комментировать
@Neyvils
Системный администратор
В дополнение как вариант, на хостинге должен быть вариант подключения к серверу "типо" как на прямую. Ограничить из под данного способа входа выход в инет на время проведения работ, пробежаться антивирусным софтом каким располагаете по серверам, и вернуть себе доступ, если доступ прекращается вероятно тогда отрабатывает какой то скрипт или по, на тот случай если у вас нет бэкапов. Можно попробовать проанализировать трафик но это совсем если все плохо и есть опыт и блокировать по месту назначения.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы