Задать вопрос

Как удалить вредоносную активность со своего сервера?

У меня есть VDS. Хостер сообщил что на мой сервер поступают жалобы. Якобы исходящая вредоносная активность с моего сервера на чужой. Вот лог:

AUZUG AUS SERVERLOGDATEI | EXCERPT FROM SERVER LOGFILE
-----------------------------------------------------------------------------------------
Jan 8 01:45:25 host171 sshd[6249]: Connection from 185.178.46.249 port 37178 on 195.201.199.2 port 22
Jan 8 01:45:25 host171 sshd[6249]: Invalid user sll from 185.178.46.249 port 37178
Jan 8 01:45:25 host171 sshd[6249]: debug1: PAM: setting PAM_RHOST to "185.178.46.249"
Jan 8 01:45:25 host171 sshd[6249]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=185.178.46.249
Jan 8 01:45:27 host171 sshd[6249]: Failed password for invalid user sll from 185.178.46.249 port 37178 ssh2
Jan 8 01:45:27 host171 sshd[6249]: Received disconnect from 185.178.46.249 port 37178:11: Bye Bye [preauth]
Jan 8 01:45:27 host171 sshd[6249]: Disconnected from 185.178.46.249 port 37178 [preauth]
Jan 8 01:26:18 host40 sshd[25975]: Connection from 185.178.46.249 port 39484 on 188.40.74.247 port 22
Jan 8 01:26:18 host40 sshd[25975]: reverse mapping checking getaddrinfo for vds-alexgaz.timeweb.ru [185.178.46.249] failed - POSSIBLE BREAK-IN ATTEMPT!
Jan 8 01:26:18 host40 sshd[25975]: Invalid user www from 185.178.46.249
Jan 8 01:26:18 host40 sshd[25975]: debug1: PAM: setting PAM_RHOST to "185.178.46.249"
Jan 8 01:26:18 host40 sshd[25975]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=185.178.46.249
Jan 8 01:26:20 host40 sshd[25975]: Failed password for invalid user www from 185.178.46.249 port 39484 ssh2
Jan 8 01:26:20 host40 sshd[25975]: Received disconnect from 185.178.46.249: 11: Bye Bye [preauth]
Jan 8 01:31:18 host40 sshd[12561]: Connection from 185.178.46.249 port 44184 on 188.40.74.247 port 22
Jan 8 01:31:18 host40 sshd[12561]: reverse mapping checking getaddrinfo for vds-alexgaz.timeweb.ru [185.178.46.249] failed - POSSIBLE BREAK-IN ATTEMPT!
Jan 8 01:31:18 host40 sshd[12561]: Invalid user test from 185.178.46.249
Jan 8 01:31:18 host40 sshd[12561]: debug1: PAM: setting PAM_RHOST to "185.178.46.249"
Jan 8 01:31:18 host40 sshd[12561]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=185.178.46.249
Jan 8 01:31:20 host40 sshd[12561]: Failed password for invalid user test from 185.178.46.249 port 44184 ssh2
Jan 8 01:31:20 host40 sshd[12561]: Received disconnect from 185.178.46.249: 11: Bye Bye [preauth]
Jan 8 01:34:18 host40 sshd[21792]: Connection from 185.178.46.249 port 36632 on 188.40.74.247 port 22
Jan 8 01:34:18 host40 sshd[21792]: reverse mapping checking getaddrinfo for vds-alexgaz.timeweb.ru [185.178.46.249] failed - POSSIBLE BREAK-IN ATTEMPT!
Jan 8 01:34:18 host40 sshd[21792]: Invalid user webprog from 185.178.46.249
Jan 8 01:34:18 host40 sshd[21792]: debug1: PAM: setting PAM_RHOST to "185.178.46.249"
Jan 8 01:34:18 host40 sshd[21792]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=185.178.46.249
Jan 8 01:34:20 host40 sshd[21792]: Failed password for invalid user webprog from 185.178.46.249 port 36632 ssh2
Jan 8 01:34:20 host40 sshd[21792]: Received disconnect from 185.178.46.249: 11: Bye Bye [preauth]


Подскажите, куда копать? И где искать решение проблемы? Где искать этот вредоносный код.
В CMS не нашел.

Выполнил top. Процесс crond64 забивает процессор на 200%.
Убил процесс с помощью kill. Но теперь где его искать?
  • Вопрос задан
  • 307 просмотров
Подписаться 2 Простой 1 комментарий
Решения вопроса 1
chupasaurus
@chupasaurus
Сею рефлекторное, злое, временное
find / -name crond64 -type f, если он не самоудаляющийся.
На будущее: расположение исполняемого файла у процесса можно узнать с помощью ls -l /proc/$pid/exe
Ответ написан
Комментировать
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы