Нужно найти причину брутфорса паролей с моего сервера?

Пришло письмо от провайдера что с моего сервера идет брутфорс на чужие подсети. Не могу найти причину. В процессах ничего подозрительного нету. Автозапуски и crontab проверил. Проверил все проекты на сервере вроде все ок. Проверил сервер через rkhunter. Мониторил сетевой интерфейс через iptraf

Сервер мониторится через zabbix. Заббик показывает нагрузку load avarage до 2. Как только захожу по ssh нагрузка падает. load avarage становиться ближе к 0
  • Вопрос задан
  • 407 просмотров
Пригласить эксперта
Ответы на вопрос 4
@tester12
Нужно найти причину брутфорса
Не нужно ничего искать.

Нужно срочно бэкапить текущий сервак (если вдруг нет бэкапов), поднимать новый сервер и настраивать всё заново.
Ответ написан
Zoominger
@Zoominger Куратор тега Linux
System Engineer
Запишите вывод topв файл. Вот так, например:
top -b -n 5000 > top-5000terations.txt
Ответ написан
@Karpion
По какому протоколу/порту идёт брутфорс (провайдер должен сказать)? Можно попробовать заблокировать этот порт на исходящие соединения.

Возможно, зловред настолько умный, что при включении мониторинга гасит свою активность.
Ответ написан
@none7
Если червь такой хитрый и прячется во время активности пользователя, то делайте shell без tty на произвольном порту или вообще backconnect. Обычный sh, червь не должны подозревать. top конечно работать не будет, но ps aux вполне достаточно.
Можно так же добавить правило фаерволла, логировать все новые исходящие подключения. Логи мониторить скриптом, который будет узнавать UID, у netstat PID, а дальше уже, название программы и строку аргументов и хоть всё дерево процессов, если нужно. Но тут главная проблема не в черве, а в том, как он к Вам попал. И сколько резервных копий себя наплодил. Без хорошего знания системы, поможет только переустановка и то не факт, учитывая дыру.
P.S. Права на файлы, chroot и docker придумали не просто так. С изоляцией проще решать подобные проблемы.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы