История изменений
Исправление lucentcode, (текущая версия) :
Стандартное дело. Ломанули вас. Возможно заюзали уязвимость весты, что месяца два назад раскрыли. Но на всякий случай просмотрите логи ssh, с не меньше вероятностью может оказаться, что какие-то товарищи(частенько так балуются китайские товарищи) просто сбрутили ваш пароль(нередко такое происходит на серверах с ssh со стандартным портом и без ограничения на доступ к порту ssh по IP-адресу). Что-бы понять что за зверь, сделайте
sha256sum /usr/bin/hheiqwuwfu
и пробейте хэш на https://www.virustotal.com/ru/ и других ресурсах.
Думаю, вам rootkit hunter нужен. Можете заодно maldet от корня запустить в бэграуде, посмотреть что ещё он найдёт на вашей тачке. Обычно если у злоумышленников есть root, то они заразу прячут в /tmp/, /var/tmp, /boot/, bin, /usr/bin/, реже в /usr/sbin. Кроме того частенько подменяют либу торчащего наружу сервиса на свою с бэкдором.
Так как в сложных случаях попытка вычислить и вычистить все произведённые злоумышленниками изменения на тачке - это заведомо очень трудоёмкое дело, стоит подумать что для вас проще: вычистить всю заразу, проверить не были ли модифицированы конфиги тех или иных сервисов, системные файлы, либы и бинарники - или по быстрому сделать бэкапы, пересетапить сервачёк и развернуть из бэкапов ваш проект.
Что-бы простой был минимальный, можно взять аналогичный сервак, установить и настроить на нём всё как нужно(лучше, чем в прошлый раз настроить критические сервисы вроде ssh, поставить тот же fail2ban, сменить порт ssh на нестандартный или настроить ограничение по IP или порт-кнокинг), синкануть туда данные проекта и файлы БД не останавливая проект, затем запланировать небольшой простой, стопнуть соответствующие сервисы, синкануть данные сайта и БД повторно, запустить нужные сервисы на новом сервачке, а со старого настроить на время смены А-записей в кэшах DNS проксирование на новый, подождать сутки-двое и полностью погасить старый сервачёк.
Поверьте, вариант с ресетапом или миграцией проекта на чистый сервак будет для вас менее хлопотным, чем длительный процесс чистки сервака.
Исходная версия lucentcode, :
Стандартное дело. Ломанули вас. Просмотрите логи ssh, скорее всего какие-то товарищи(частенько так балуются китайские товарищи) просто сбрутили ваш пароль(нередко такое происходит на серверах с ssh со стандартным портом и без ограничения на доступ к порту ssh по IP-адресу). Что-бы понять что за зверь, сделайте
sha256sum /usr/bin/hheiqwuwfu
и пробейте хэш на https://www.virustotal.com/ru/ и других ресурсах.
Думаю, вам rootkit hunter нужен. Можете заодно maldet от корня запустить в бэграуде, посмотреть что ещё он найдёт на вашей тачке. Обычно если у злоумышленников есть root, то они заразу прячут в /tmp/, /var/tmp, /boot/, bin, /usr/bin/, реже в /usr/sbin. Кроме того частенько подменяют либу торчащего наружу сервиса на свою с бэкдором.
Так как в сложных случаях попытка вычислить и вычистить все произведённые злоумышленниками изменения на тачке - это заведомо очень трудоёмкое дело, стоит подумать что для вас проще: вычистить всю заразу, проверить не были ли модифицированы конфиги тех или иных сервисов, системные файлы, либы и бинарники - или по быстрому сделать бэкапы, пересетапить сервачёк и развернуть из бэкапов ваш проект.
Что-бы простой был минимальный, можно взять аналогичный сервак, установить и настроить на нём всё как нужно(лучше, чем в прошлый раз настроить критические сервисы вроде ssh, поставить тот же fail2ban, сменить порт ssh на нестандартный или настроить ограничение по IP или порт-кнокинг), синкануть туда данные проекта и файлы БД не останавливая проект, затем запланировать небольшой простой, стопнуть соответствующие сервисы, синкануть данные сайта и БД повторно, запустить нужные сервисы на новом сервачке, а со старого настроить на время смены А-записей в кэшах DNS проксирование на новый, подождать сутки-двое и полностью погасить старый сервачёк.
Поверьте, вариант с ресетапом или миграцией проекта на чистый сервак будет для вас менее хлопотным, чем длительный процесс чистки сервака.