Взломали сервер?

Question

[Artem Ryzhov]

Добрый день!
Сегодня обнаружил странную вещь на сервере... В папке /tmp >200000 сертификатов. В auth.log ошибки идентификации.. Куда копать?)

Update:
Виноватым оказался dropbox-client. Всем спасибо за помощь!

Comments

[Ульрих]

Начните с того, что расскажите нам :
1) Какая ОС на сервере
2) Когда последний раз устанавливали обновления
3) Какие сервисы крутятся на сервере (apache, php, mysql)

[Дмитрий Шицков]

Подключения производят посредством SSH? Что в логе sshd? Если в нём проблема, то убирайте его с 22 порта и/или устанавливайте и настраивайте fail2ban.

[Artem Ryzhov]

Ульрих: debian 7.0, 3.2.0-4-amd64. Обновления устанавливались очень давно, даже не скажу когда... Сервисы: nginx, mongodb, mysql, webmin, dropbox, rsync.. Подозреваю что-то в последних двух, так как в auth.log ошибки для пользователя, который делает синхронизацию по rsync между серверами. Наружу все закрыто файрволом, кроме ssh на нестандартном порту.

[Artem Ryzhov]

Дмитрий Шицков: sshd молчит.. в auth.log только по поводу sudo есть сообщения... Такое впечатление, что это какой-то процесс пытается выполнить команду с sudo, а у него не получается..

[Ульрих]

ryzhovas: ну как минимум нужно устанавливать все обновления безопасности. Сервисов довольно много и каждый может оказаться уязвимым.

[Artem Ryzhov]

Ульрих: Да уж, займусь в ближайшее время ) спасибо!

Answer 1

[Владимир Куц]

openssl x509 -in /tmp/какой-нибудь-файл -noout -subject

Быстрее всего dropbox-client

Comments

[Artem Ryzhov]

Действительно dropbox. Спасибо большое!
Причем я не один такой: https://www.dropboxforum.com/hc/en-us/community/po...