Возможная атака на мой vserver - исходящее соединение tcp/ip

ChaosSpeeder

17.07.2023, 11:49

У меня подозрительная ситуация на моем vServer (Centos 7). Неизвестный сценарий bash потребляет всю память сервера. Есть заметная связь с «внешним».

К сожалению, мои знания Unix ограничены.

Как запретить пользователю git соединение с внешним миром?

Как я могу выяснить, где находятся эти bash-скрипты, каково их содержимое?

lsof -p 1577
КОМАНДА PID ПОЛЬЗОВАТЕЛЬ ТИП FD УСТРОЙСТВО РАЗМЕР/ВЫКЛ НАЗВАНИЕ УЗЛА
bash 1577 git cwd DIR 182,395665 4096 2 /
bash 1577 git rtd DIR 182,395665 4096 2 /
bash 1577 git txt unknown /proc/1577/exe (ссылка для чтения: нет такого файла или каталога)
bash 1577 git mem REG 182,395665 795648 (удалено)/var/tmp/.ICE-unix/.bash/.bash/bash (статистика: нет такого файла или каталога)
bash 1577 git 0r FIFO 0,8 0t0 3801753555 труба
bash 1577 git 1w FIFO 0,8 0t0 3801753556 труба
bash 1577 git 2w FIFO 0,8 0t0 3801753556 труба
bash 1577 git 3u REG 182.395665 0 5390 /tmp/.lock
bash 1577 git 4u 0000 0,9 0 4145 [опрос событий]
bash 1577 git 5r FIFO 0,8 0t0 3801755403 труба
bash 1577 git 6w FIFO 0,8 0t0 3801755403 труба
bash 1577 git 7r FIFO 0,8 0t0 3801755399 труба
bash 1577 git 8w FIFO 0,8 0t0 3801755399 труба
bash 1577 git 9u 0000 0,9 0 4145 [eventfd]
bash 1577 git 10r CHR 1,3 0t0 3801397120 /dev/null
bash 1577 git 11u IPv4 3801755495 0t0 TCP <IP-адрес моего сервера>:56542->**blackcat.ro:http** (УСТАНОВЛЕНО)

0 + 0

бить

systemctl

центос7

Рейтинг:1

Server

willnode

17.07.2023, 21:13

В зависимости от вашей существующей настройки брандмауэра, она может отличаться. Но обычно у вас уже должно быть iptables установлен брандмауэр.

(Примечание: если у вас есть брандмауэр, он не может заблокировать IP-адрес, см. здесь для отключения его и переключения на iptables)

Первое, что вам нужно знать, это то, что вы не можете заблокировать запрос к домену, но вместо этого вы можете заблокировать его по IP.

Чтобы найти IP, используйте нслукап. Сказать nslookup blackcat.ro. Вы получите список IP-адресов, вам нужно заблокировать их все. Вы можете увидеть адреса IPv4 и IPv6, используйте одну из команд ниже, чтобы заблокировать.

iptables -A ВЫВОД -p tcp -d <IPv4> -j DROP
ip6tables -A ВЫВОД -p tcp -d <IPv6> -j DROP

Когда закончите, сохраните текущую конфигурацию, чтобы она не потерялась.

/sbin/service iptables сохранить
/sbin/service ip6tables сохранить

0 + 0

Admin

Этот вопрос на других языках:

EN: Possible attack on my vserver - outgoing tcp/ip connection

TH: เป็นไปได้ที่การโจมตีเซิร์ฟเวอร์ของฉัน - การเชื่อมต่อ tcp/ip ขาออก

RO: Posibil atac asupra serverului meu - conexiune tcp/ip de ieșire

RU: Возможная атака на мой vserver - исходящее соединение tcp/ip

VI: Có thể tấn công vào máy chủ vserver của tôi - kết nối tcp/ip gửi đi

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.