Взломали сервер?

Question

Artem Ryzhov @ryzhovas

Взломали сервер?

Добрый день!
Сегодня обнаружил странную вещь на сервере... В папке /tmp >200000 сертификатов. В auth.log ошибки идентификации.. Куда копать?)

Update:
Виноватым оказался dropbox-client. Всем спасибо за помощь!

Вопрос задан более трёх лет назад
1072 просмотра

6 комментариев

Подписаться 4 Оценить 6 комментариев

Ульрих @ulrich-schnauss

Начните с того, что расскажите нам :
1) Какая ОС на сервере
2) Когда последний раз устанавливали обновления
3) Какие сервисы крутятся на сервере (apache, php, mysql)

Написано более трёх лет назад
Дмитрий Шицков @Zarom

Подключения производят посредством SSH? Что в логе sshd? Если в нём проблема, то убирайте его с 22 порта и/или устанавливайте и настраивайте fail2ban.

Написано более трёх лет назад
Artem Ryzhov @ryzhovas Автор вопроса

Ульрих: debian 7.0, 3.2.0-4-amd64. Обновления устанавливались очень давно, даже не скажу когда... Сервисы: nginx, mongodb, mysql, webmin, dropbox, rsync.. Подозреваю что-то в последних двух, так как в auth.log ошибки для пользователя, который делает синхронизацию по rsync между серверами. Наружу все закрыто файрволом, кроме ssh на нестандартном порту.

Написано более трёх лет назад
Artem Ryzhov @ryzhovas Автор вопроса

Дмитрий Шицков: sshd молчит.. в auth.log только по поводу sudo есть сообщения... Такое впечатление, что это какой-то процесс пытается выполнить команду с sudo, а у него не получается..

Написано более трёх лет назад
Ульрих @ulrich-schnauss

ryzhovas: ну как минимум нужно устанавливать все обновления безопасности. Сервисов довольно много и каждый может оказаться уязвимым.

Написано более трёх лет назад
Artem Ryzhov @ryzhovas Автор вопроса

Ульрих: Да уж, займусь в ближайшее время ) спасибо!

Написано более трёх лет назад

Помогут разобраться в теме Все курсы

Нетология

Специалист по информационной безопасности + нейросети

12 месяцев

Далее
Академия Эдюсон

Python-разработчик + ИИ

9 месяцев

Далее
ProductStar × РБК

Профессия: Инженер по информационной безопасности + ИИ

9 месяцев

Далее

Решения вопроса 1

1 комментарий

Пригласить эксперта

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

Системное администрирование

+1 ещё

Простой
Как запретить внешние HDD в каспере?
- 5 подписчиков
- 15 мая
- 361 просмотр
1

ответ
Linux

+2 ещё

Сложный
Восстановление таблицы разделов?
- 3 подписчика
- 15 мая
- 334 просмотра
2

ответа
Linux

+3 ещё

Средний
Radxa debian почему не работает тачскрин?
- 1 подписчик
- 13 мая
- 148 просмотров
2

ответа
Windows

+2 ещё

Средний
Как восстановить настройки по умолчанию брэндмауэра Windows 7?
- 1 подписчик
- 13 мая
- 213 просмотров
1

ответ
Linux

+2 ещё

Простой
Метка тома системного раздела Linux?
- 1 подписчик
- 13 мая
- 198 просмотров
3

ответа
Linux

+1 ещё

Простой
Звуковые эффекты Realtek audio driver в Linux?
- 1 подписчик
- 12 мая
- 151 просмотр
3

ответа
Системное администрирование

+1 ещё

Средний
Youtube через smart TV в 2026году?
- 1 подписчик
- 10 мая
- 399 просмотров
3

ответа
Linux

+1 ещё

Простой
Почему переодически появляется сообщение в браузере « Прокси-сервер отказывается принимать соединения»?
- 1 подписчик
- 01 мая
- 285 просмотров
2

ответа
Системное администрирование

+1 ещё

Простой
Что может значит «Количество SIP линий» в облачной АТС в настройках SIP-аккаунта (фото прилагается)?
- 2 подписчика
- 29 апр.
- 225 просмотров
2

ответа
Linux

+3 ещё

Средний
Каскадный VPN Vless+Realty — почему отваливается SSH?
- 3 подписчика
- 29 апр.
- 2230 просмотров
1

ответ
Показать ещё Загружается…

Начните с того, что расскажите нам :
1) Какая ОС на сервере
2) Когда последний раз устанавливали обновления
3) Какие сервисы крутятся на сервере (apache, php, mysql)
Подключения производят посредством SSH? Что в логе sshd? Если в нём проблема, то убирайте его с 22 порта и/или устанавливайте и настраивайте fail2ban.
Ульрих: debian 7.0, 3.2.0-4-amd64. Обновления устанавливались очень давно, даже не скажу когда... Сервисы: nginx, mongodb, mysql, webmin, dropbox, rsync.. Подозреваю что-то в последних двух, так как в auth.log ошибки для пользователя, который делает синхронизацию по rsync между серверами. Наружу все закрыто файрволом, кроме ssh на нестандартном порту.
Дмитрий Шицков: sshd молчит.. в auth.log только по поводу sudo есть сообщения... Такое впечатление, что это какой-то процесс пытается выполнить команду с sudo, а у него не получается..
ryzhovas: ну как минимум нужно устанавливать все обновления безопасности. Сервисов довольно много и каждый может оказаться уязвимым.
Ульрих: Да уж, займусь в ближайшее время ) спасибо!