State Recv-Q Send-Q Local Address:Port Peer Address:Port
FIN-WAIT-1 0 3640 my.public.ip.xx:https xxx.xx.xxx.xx:56206
SYN-SENT 0 1 my.public.ip.xx:55380 suspicious.ip1:9001 users:(("zpanel-cgi",4274,3))
FIN-WAIT-1 0 178 my.public.ip.xx:https xxx.xx.xxx.xx6:56204
FIN-WAIT-1 0 3640 my.public.ip.xx:https xxx.xx.xxx.xx:3275
ESTAB 0 304 my.public.ip.xx:ssh my.local.ip.x:32806 users:(("sshd",13981,3))
FIN-WAIT-1 0 178 my.public.ip.xx:https xxx.xx.xxx.xx:3263
SYN-SENT 0 1 my.public.ip.xx:42411 suspicious.ip2:whois users:(("whois",14681,175))
FIN-WAIT-1 0 70 my.public.ip.xx:https xxx.xx.xxx.xx:56198
ESTAB 0 0 my.public.ip.xx:http xxx.xx.xxx.xx:7497 users:(("apache2",14594,88))
Hola, Así que mi servidor se vio comprometido hace un tiempo y estoy tratando de corregir los problemas.
Mi servidor ejecuta Ubuntu 12.04 . Como puede ver en el registro anterior (resultado del comando ss -tp ), hay dos conexiones que son extraterrestres (ambos nombres de usuario no se pueden encontrar en el archivo / etc / passwd
Actualmente estoy usando ufw para bloquear todas las conexiones extrañas de entrada / salida.
Mi pregunta es ¿cómo puedo eliminar completamente estas conexiones y sus procesos / usuarios principales?