Noté que la CPU de mi servidor es super alta y que la razón es el comando grep "A"
Despuésdeunamiradaprofunda,esoesloqueheencontradoenmilistadeconexionesdeInternetactivas(netstat-tupn
)
tcp00138.xxx.140.xxx:60752198.1.158.134:80ESTABLISHED1583/grep"A"
He eliminado la tarea llamando a sudo kill -9 1583
, luego la misma dirección IP realizó la siguiente conexión con un comando diferente
tcp 0 0 138.xxx.140.xxx:32956 198.1.158.134:8000 ESTABLISHED 13139/id
llamando a lsof
, encontré que el nombre del proceso es bkhcdgfdv
con estas líneas
bkhcdgfdv 14771 14825 root 5r REG 253,1 4516064 57220 /usr/sbin/php-fpm7.1
bkhcdgfdv 14771 14826 root cwd DIR 253,1 4096 2 /
bkhcdgfdv 14771 14826 root rtd DIR 253,1 4096 2 /
bkhcdgfdv 14771 14826 root txt REG 253,1 625878 2100 /usr/bin/bkhcdgfdva
bkhcdgfdv 14771 14826 root 0u CHR 1,3 0t0 6 /dev/null
bkhcdgfdv 14771 14826 root 1u CHR 1,3 0t0 6 /dev/null
bkhcdgfdv 14771 14826 root 2u CHR 1,3 0t0 6 /dev/null
bkhcdgfdv 14771 14826 root 3u IPv4 309207 0t0 TCP MY_HOSTNAME:32982->198.1.158.134:8000 (ESTABLISHED)
Pregunta: ¿Qué tipo de ataque es este y cómo lo detengo?