Как эксперт по ИТ-безопасности, правильный ответ на любую угрозу безопасности скомпрометированной машины: Отключите затронутую систему (системы) (полностью выключите их или немедленно отключите от сети и изолируйте, если вы собираетесь проанализировать систему и брешь) и уничтожьте ее с орбиты, чтобы очистить. Очистите его, восстановите важные вещи из чистых резервных копий до новой переустановки операционной, которая является чистой.
Как только это будет сделано, вам нужно убедиться, что все ваши приложения в этой системе должны быть защищены и заблокированы. Вероятно, если вы используете веб-приложение, такое как Wordpress или что-то подобное, вам необходимо постоянно обновлять его. Добавление фейл2бан Решение для вашей системы и включение его для различных приложений поможет, так что когда что-то сработает, оно будет заблокировано брандмауэром на период времени из-за продолжающихся попыток атаки.
(Правильная защита вашей системы и приложений — это очень ОБЩАЯ вещь, которая слишком велика для одного поста, и всегда представляет собой анализ в каждом конкретном случае/основу анализа вознаграждения за риск/затраты, поэтому мы не можем дать вам лучший способ чтобы правильно все затвердеть.)
если ты В самом деле хотите разобрать что происходит, устанавливайте сетевые инструменты на затронутой машине, затем отключите ее от сети.
sudo apt установить сетевые инструменты
Как только это будет сделано, запустите sudo netstat -атупен и найдите любые исходящие подключения к порту 22 в вашей системе и посмотрите, какой процесс запускает исходящие соединения через порт 22. Также следите за этим и запускайте его много раз, если вам нужно убедиться, что он отображается, потому что без сети он, вероятно, попытается и сразу же потерпит неудачу, поэтому может потребоваться запуск этого несколько раз.
Однако, вам лучше удалить все в системе и восстановить с нуля и сохраняйте лучшие резервные копии вашей информации, которая НЕ будет заражена вредоносным ПО.
Кроме того, если вы не знаете, что делаете, вам не следует размещать сервер и т. д. в вашей собственной сети из-за подобных проблем — ваши собственные системы могут быть взломаны, если хотя бы одна система в вашей домашней сети выйдет из строя.
Чтобы поместить мой последний бит в перспективу:
Даже с учетом моего опыта все серверы в моей сети, работающие в Интернете, защищены от доступа к ним других серверов, а моя сеть построена как сеть корпоративного уровня с управляемым брандмауэром, управляемыми коммутаторами и т. д., что означает, что мой Интернет стоящие перед ними серверы изолированы в соответствующих DMZ и не могут получить доступ к остальной части моей сети, где присутствуют более важные данные. Изоляция и укрепление сети такого масштаба требуют гораздо большего, чем то, что вы получите на уровне оборудования «бытового» и «бытового» уровня, которое вы можете получить, требуется много дополнительного времени, усилий и знаний, чтобы действительно изолировать выход в Интернет. систем для предотвращения более крупных нарушений, а также для получения журналов сетевого потока для различного поведения сети, а также для фильтрации активных списков разведданных для блокировки известных зол. Это не для слабонервных, и требует МНОГО усилий, чтобы поддерживать его в рабочем состоянии.
Два моих сервера, которые я запускаю в своих демилитаризованных зонах для клиентов, недавно вышли из строя из-за неправильно исправленных экземпляров Wordpress. К счастью, я сохраняю для них резервные копии, поэтому мы уничтожили взломанные экземпляры, восстановили их из чистых резервных копий, а затем я сразу же потратил шесть часов на каждую машину, исправляя их и переукрепляя. Один неисправленный экземпляр Wordpress на каждом из этих серверов привел к тому, что эти серверы были взломаны и попытались распространить вредоносное ПО, которое обнаружила моя IDS/IPS — опять же, это настройка сети корпоративного уровня, поэтому у меня есть время, инфраструктура и деньги, чтобы поставить в него все защиты. У вас не будет этого на вашем обычном сервере или в домашней сети.
