1. casa
  2. Domanda e risposta
  3. Sono hackerato? processi sconosciuti dsfref, gfhddsfew, dsfref ecc stanno iniziando automaticamente in CentOS 6.5

Sono hackerato? processi sconosciuti dsfref, gfhddsfew, dsfref ecc stanno iniziando automaticamente in CentOS 6.5

2014-04-25 6 views
6

Im usando CentOS 6.5, di recente ho capito che il mio computer sta caricando qualcosa (che non ho nemmeno chiedere), a 11 Mbps velocità di upload, ma la parte spaventosa è la mia velocità di upload di internet è 800Kbps, ogni giorno mostra 200GB caricato e così via .. si possono vedere alcuni processi sconosciuti a partire nell'immagine 1 allegata .. gfhddsfew, sdmfdsfhjfe, gfhjrtfyhuf, dsfrefr, ferwfrre, rewgtf3er4t, sfewfesfs, sdmfdsfhjfe,Sono hackerato? processi sconosciuti dsfref, gfhddsfew, dsfref ecc stanno iniziando automaticamente in CentOS 6.5

ho cercato di uccidere tutti i processi manualmente con il comando kill e cancellati i file da// cartella, ecc, ma ancora, se mi collego ad internet questi file vengono inseriti in/etc/automatico, non vedo questo problema in windows (il mio pc è dual boot).

Nota: ho usato chattr -i per modificare le autorizzazioni e cancellato il file sfewfesfs, quando ho cercato di eliminare il file senza l'utilizzo di chattr, dice la sua permessi smussano essere cambiati/file di cant essere cancellato. e un'altra cosa, quando ho usato il comando #rm/etc/sfewfesfs senza chattr, il computer riavviato, è successo tutto il tempo ho cercato di eliminare il file senza chattr. e questi eseguibili vengono visualizzati nei processi in esecuzione solo quando è collegato internt.

Nota: Im usando fascio internet via cavo (beamtele.com, Hyderabad, India)

Qui ci sono le immagini che mostra il problema

Issue depiction #1 Issue depiction #2

fonte

2014-04-25 rrmerugu

+0

Immagino sia più adatto per [ServerFault] (http://serverfault.com) o [SuperUser] (http://superuser.com) – Kamiccolo

+0

Ottenuto lo stesso in una macchina di prova con una password radice banale e accesso SSH . Non ho mai visto nulla del genere prima d'ora. –

risposta

7

Sì, si sta hackerato!

Congratulazioni!

apparire come avere rootkit, o vulnerabilità. Prova ad aggiornare il tuo sistema e utilizzare utility come rkhunter e clamav.

di quanto è necessario per controllare i file di sistema

rpm -q --verify

Oppure è possibile reinstallare completamente il sistema invece.

fonte

2014-04-25 12:11:29 BaBL86

+0

E che dire di quelli che non usano o hanno rpm? – shevy

+0

debsums -ca. Ma cosa succede se hai un file bin NON REPOSITORY da qualche parte in PATH o daemon in memoria, che apre SSH con login/pass male? RPM e debsum controllano solo i pacchetti installati. – BaBL86

+0

https://serverfault.com/questions/218005/how-do-i-deal-with-a-compromised-server – Wtower

0

ho scoperto che c'è un .ssh2 file eseguibile nella cartella/file/etc. Cancellalo. Probabilmente causa la creazione di un altro file eseguibile .sshdd1401029612 nella directory/tmp/che causa tutti i problemi. L'ho controllato usando htop. Il file è grande. Gli altri file gfhddsfew, sdmfdsfhjfe, gfhjrtfyhuf, dsfrefr, ferwfrre erano probabilmente solo file fittizi.

fonte

2014-05-25 15:06:08 nausicaa

1

Non sarà disponibile, anche se avete cancellato questi file: /tmp/.sshdd1401029612 o /tmp/.sshddxxxxxxxxxx, /etc/.SSH2,/etc/sfewfesfs

Si può innanzitutto eliminare alcuni file (binari) introdotti al sistema per l'intruso:

(a) /etc/rcX.d/S99local

X = 2,3,4,5

Questo script richiamare/etc/rc.d/rc.local per lanciare diversi attacchi sul tuo sistema.

(B) Quindi, è meglio eliminare immediatamente questo file. Si vede il contenuto di questo file lancerà diversi binari per attaccare il sistema:

#!/bin/sh 
# 
# This script will be executed *after* all the other init scripts. 
# You can put your own initialization stuff in here if you don't 
# want to do the full Sys V style init stuff. 

touch /var/lock/subsys/local 
cd /etc;./sfewfesfs 
cd /etc;./gfhjrtfyhuf 
cd /etc;./rewgtf3er4t 
cd /etc;./sdmfdsfhjfe 
cd /etc;./gfhddsfew 
cd /etc;./ferwfrre 
cd /etc;./dsfrefr 
cd /etc;./sfewfesfs 
cd /etc;./gfhjrtfyhuf 
cd /etc;./rewgtf3er4t 
cd /etc;./sdmfdsfhjfe 
cd /etc;./gfhddsfew 
cd /etc;./ferwfrre 
cd /etc;./dsfrefr 
cd /etc;./sfewfesfs 
cd /etc;./gfhjrtfyhuf 
cd /etc;./rewgtf3er4t 
cd /etc;./sdmfdsfhjfe 
cd /etc;./gfhddsfew 
cd /etc;./ferwfrre 
cd /etc;./dsfrefr 
cd /etc;./sfewfesfs 
cd /etc;./gfhjrtfyhuf 
cd /etc;./rewgtf3er4t 
cd /etc;./sdmfdsfhjfe 
cd /etc;./gfhddsfew 
cd /etc;./ferwfrre 
cd /etc;./dsfrefr 
cd /etc;./sfewfesfs 
cd /etc;./gfhjrtfyhuf 
cd /etc;./rewgtf3er4t 
cd /etc;./sdmfdsfhjfe 
cd /etc;./gfhddsfew 
cd /etc;./ferwfrre 
cd /etc;./dsfrefr 
cd /etc;./sfewfesfs 
cd /etc;./gfhjrtfyhuf 
cd /etc;./rewgtf3er4t 
cd /etc;./sdmfdsfhjfe 
cd /etc;./gfhddsfew 
cd /etc;./ferwfrre 
cd /etc;./dsfrefr

Si raccomanda vivamente per cancellare questo file /etc/rc.d/rc.local con la forza .

(C) Dopo l'eliminazione di quei file di cui sopra, si può iniziare a sudo per terminare i processi:

(i)/etc/ssh/sshpa

che provoca la creazione di /tmp/.sshddxxxxxxxxxx, /etc/.SSH2,/etc/sfewfesfs

(ii) e per terminare i processi: /tmp/.sshddxxxxxxxxxx, /etc/.SSH2,/etc/sfewfesfs

(D) Si prega di eliminare questi file immediatamente: /etc/ssh/sshpa, /tmp/.sshddxxxxxxxxxx, /etc/.SSH2,/etc/sfewfesfs

e utilizzare htop per assicurarsi che non vengano più lanciati in background.

(E) Aggiornamento del sistema, si prega di non dimenticare di cambiare la password di root e tutte le password degli utenti.

Sfortunatamente, chkrootkit e rkhunter potrebbero non essere in grado di rilevare questo intruso. Forse, non so come utilizzare completamente questi due correttori di rootkit. O forse entrambi i correttori di rootkit dovrebbero essere aggiornati. O forse c'è un'altra ragione ...

fonte

2014-07-04 03:03:49 Isospin

0

Grazie per aver condiviso il tuo problema. Se tu non l'avessi condiviso, sarebbe molto difficile entrare in rapida conclusione.

Im anche utilizzando la rete via cavo a Mumbai. È un attacco di virus. Linux ?? virus ??? questa è stata anche la mia reazione.

Infine ho scoperto che era coz di accesso root alla macchina tramite ssh coz di password debole (password "root").

Per disattivare ssh radice di login, modificare il file/etc/ssh/sshd_config e aggiungere/modificare la riga seguente:

PermitRootLogin no

Riferimenti: https://forum.manjaro.org/index.php?topic=13806.0

fonte

2014-08-25 01:46:11 user2851636

0

hanno anche un'occhiata a: https://isc.sans.edu/forums/diary/Unfriendly+crontab+additions/17282/ Il tuo crontab potrebbe essere simile; in ogni caso sbarazzarsi di quelle voci cattive prima di eliminare i file di cui sopra. Clamav ha trovato due exploit sul mio server, e il mio crontab ha elencato www.frade8c.com che è stato rintracciato a Pechino. Dopo aver fatto tutto quanto sopra, inclusa la disabilitazione dell'accesso remoto a root, assicurati di chiudere/modificare la porta 22 (se si usa ssh) e di randomizzare la password di root, almeno 15 caratteri.

fonte

2014-09-04 16:32:56 Avion

0

Questo collegamento si trovava in un post dalla coda di revisione che, a prima vista, era un test non riuscito - whoops.Comunque ho pensato che fosse interessante vedere il genere di cose che uno script malizioso poteva fare - http://pastebin.com/9iqWhWde

Aggiungere lotti a rc.local, cancellare log, processi di uccisione (iptables e presumo altri bot), aggiungere roba a cron di corso. Se qualcun altro è stato infettato da questo o simili, darebbe loro qualche buon posto per verificare la presenza di danni.

fonte

2014-11-17 22:09:00 aland

0

Ho avuto lo stesso problema su un server. è necessario trovare un modo per rendere lo spazio disponibile sul disco a 0% o cartella non scrivibile. Quindi, elimina tutti i file e dovresti essere libero di andare.

fonte

2017-05-25 08:23:11 Phil

 Problemi correlati

  • Nessun problema correlato^_^