Как проверить, было ли установлено какое-либо соединение с моего сервера ubuntu на определенный IP-адрес? (у меня есть IP-адрес назначения)

Manas

01.03.2023, 15:13

Настройка сервера: Убунту 18.04.6 ЛТС запуск Gitlab на собственном хостинге

Я получил электронное письмо от gcloud, в котором говорилось, что сервер (ВМ) мог быть скомпрометирован и использоваться для майнинга криптовалюты. Он также упомянул IP-адрес назначения этого сервера.

Итак, вот что я пытаюсь выяснить:

Было ли какое-либо подключение к этому IP-адресу с моего сервера
Если да, найдите исходный файл на сервере, который мог установить соединение.

0 + 0

gcloud

Убунту-18.04

djdomi

01.03.2023, 16:22

Отвечает ли это на ваш вопрос? [Что делать со скомпрометированным сервером?](https://serverfault.com/questions/218005/how-do-i-deal-with-a-compromised-server)

Ответить

John Hanley

02.03.2023, 01:16

Если уведомление поступило от Google, выключите виртуальную машину сейчас. Затем исследуйте. Создайте снимок диска, создайте новый диск из снимка и смонтируйте снимок на другом экземпляре. Если у вас нет сильных навыков в криминалистике, либо наймите кого-нибудь, кто это сделает, либо уничтожьте исходный экземпляр и попытайтесь восстановить свои файлы с диска, созданного из моментального снимка. Некоторое программное обеспечение для криптомининга не повреждает/искажает ваши файлы, им просто требуется процессорное время. Другие очень опасны.

Ответить

Fariya Rahmat

02.03.2023, 07:48

Проверьте использование вашего ЦП, так как майнинг криптовалюты требует огромных объемов обработки ЦП / ГП. Поскольку ваша виртуальная машина находится в GCP, вы можете проверить ее на [панели инструментов](https://cloud.google.com/spanner/docs/cpu-utilization). Используйте [команды](https://www.cyberciti.biz/faq/how-to-check-running-process-in-linux-using-command-line/), чтобы проверить посторонние процессы, запущенные на вашей виртуальной машине, и удалить это с SSH FTP. Если вы не можете найти, что именно потребляет ваш процессор, и если ваш Gitlab работает медленно, вам нужно попытаться восстановить его из последней работоспособной резервной копии [моментального снимка] (https://cloud.google.com/compute/docs). /диски/создать снимки).

Ответить

Manas

07.03.2023, 10:44

Спасибо, ребята, за предложения. После изучения проблемы пространство для хранения на сервере было заполнено, и недавняя проблема заключалась в том, что gitlab не удалял старые резервные копии в соответствии с настройками (чтобы удалить резервные копии через 7 дней). Поэтому я удалил старые резервные копии и обновил версию gitlab.

Ответить

Admin

Этот вопрос на других языках:

EN: How to check if any connection was made from my ubuntu server to a specific IP address? (I have the destination Ip address)

TH: จะตรวจสอบได้อย่างไรว่ามีการเชื่อมต่อใด ๆ จากเซิร์ฟเวอร์อูบุนตูไปยังที่อยู่ IP เฉพาะ (ฉันมีที่อยู่ IP ปลายทาง)

RO: Cum verific dacă a fost făcută vreo conexiune de la serverul meu Ubuntu la o anumită adresă IP? (Am adresa IP de destinație)

RU: Как проверить, было ли установлено какое-либо соединение с моего сервера ubuntu на определенный IP-адрес? (у меня есть IP-адрес назначения)

VI: Làm cách nào để kiểm tra xem có bất kỳ kết nối nào được tạo từ máy chủ Ubuntu của tôi đến một địa chỉ IP cụ thể không? (Tôi có địa chỉ IP đích)

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.