Нужно найти причину брутфорса паролей с моего сервера?

Question

[Сергей Дегтяр]

Пришло письмо от провайдера что с моего сервера идет брутфорс на чужие подсети. Не могу найти причину. В процессах ничего подозрительного нету. Автозапуски и crontab проверил. Проверил все проекты на сервере вроде все ок. Проверил сервер через rkhunter. Мониторил сетевой интерфейс через iptraf

Сервер мониторится через zabbix. Заббик показывает нагрузку load avarage до 2. Как только захожу по ssh нагрузка падает. load avarage становиться ближе к 0

Comments

[uRoot]

На ЛОР-е не помогли? =)

[Сергей Дегтяр]

CryNet, Пока в процессе там

Answer 1

[tester12]

Нужно найти причину брутфорса

Не нужно ничего искать.

Нужно срочно бэкапить текущий сервак (если вдруг нет бэкапов), поднимать новый сервер и настраивать всё заново.

Answer 2

[Рональд Макдональд]

Запишите вывод topв файл. Вот так, например:
top -b -n 5000 > top-5000terations.txt

Answer 3

[Karpion]

По какому протоколу/порту идёт брутфорс (провайдер должен сказать)? Можно попробовать заблокировать этот порт на исходящие соединения.

Возможно, зловред настолько умный, что при включении мониторинга гасит свою активность.

Answer 4

[none7]

Если червь такой хитрый и прячется во время активности пользователя, то делайте shell без tty на произвольном порту или вообще backconnect. Обычный sh, червь не должны подозревать. top конечно работать не будет, но ps aux вполне достаточно.
Можно так же добавить правило фаерволла, логировать все новые исходящие подключения. Логи мониторить скриптом, который будет узнавать UID, у netstat PID, а дальше уже, название программы и строку аргументов и хоть всё дерево процессов, если нужно. Но тут главная проблема не в черве, а в том, как он к Вам попал. И сколько резервных копий себя наплодил. Без хорошего знания системы, поможет только переустановка и то не факт, учитывая дыру.
P.S. Права на файлы, chroot и docker придумали не просто так. С изоляцией проще решать подобные проблемы.