LINUX.ORG.RU
ФорумGeneral

Куча процессов ssh

 , ,


0

2

Есть VPS сервер на reg.ru c Centos 6, на нем в последнее время появилось куча процессов ./ssh 200 штук 30. Вырубал сервер ssh, все равно процессы остаются. В чем может быть проблема? В какую сторону копать?



Последнее исправление: cetjs2 (всего исправлений: 1)

Похоже тебя взломали.

Deleted
()

ps aux в студию - если еще дров не наломал

reprimand ★★★★★
()
Ответ на: комментарий от wootsup

Дай угадаю: у root пользователя был простой пароль и он мог аутентифицироваться при помощи этого самого пароля?

edigaryev ★★★★★
()
Ответ на: комментарий от edigaryev

В сторону переустановки системы с нуля.

Ну это же не оффтопик какой, чтобы при любой проблеме переустанавливать.

wootsup
() автор топика

Похоже это троян, искоренить его будет очень сложно, так что переустанавливай систему.

HyperCOGENT
()
Ответ на: комментарий от edigaryev

Дай угадаю: у root пользователя был простой пароль и он мог аутентифицироваться при помощи этого самого пароля?

Пароль не простой, доступ у root пользователя был да.

wootsup
() автор топика
Ответ на: комментарий от wootsup

По крайней мере, похоже. Чтобы можно было что-то сказать более детально, нужен соответствующий аудит.

post-factum ★★★★★
()
Ответ на: комментарий от wootsup

Ну это же не оффтопик какой, чтобы при любой проблеме переустанавливать.

Взлом это не «любая проблема».

edigaryev ★★★★★
()
Ответ на: комментарий от wootsup

Ну это же не оффтопик какой, чтобы при любой проблеме переустанавливать.

Ну так это не ЛЮБАЯ проблема, а конкретная и очень серьезная. При решении которой усилия не оправдывают результата. Проще, а главное лучше установить заново.

А оффтопик переустанавливают от незнания и от кривости рук и ОС и ее инфраструктуры в целом.

uspen ★★★★★
()

сайты есть на сервере? От какого имени запущены эти процессы? Если от имени apache - то не волнуйся. Порутать не смогли. Просто необходимо провести ревизию всех сайтов, которые работают

r0ck3r ★★★★★
()
Последнее исправление: r0ck3r (всего исправлений: 1)
Ответ на: комментарий от wootsup

убивай процесс httpd и ищи вирусы на сайтах. Меняй на всех пароли и обновляй движки

r0ck3r ★★★★★
()
Ответ на: комментарий от Deleted

http://hackerific.net/2013/04/15/running-a-kippo-honeypot/

Which I think are pretty odd. I haven't managed to find much on these passwords (it's dead easy to find lists of attempted password, but not a lot of analysis), but I suspect that they're either passwords which are typically set by exploits or perhaps root kits or by other script kiddies' attacks. It's hard to imagine that anyone would actually choose to set their root password to Th3Bu1ES@VaDCuMm3RgeLak3T3LL1!!!.

anonymous
()
Ответ на: комментарий от Deleted

что то мне подсказывает что это таки непростой пароль

если этот пароль сохранён в putty в завирусованной венде, то «взломать» его не слишком и сложно.

emulek
()
Ответ на: комментарий от anonymous

Эм, такой пароль легко запомнить и многие люди ошибочно считают его достаточно защищённым, и могут использовать его повторно, полагая, что он неизвестен злоумышленникам. На то и расчёт.

wakuwaku ★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
General