Mi máquina es hackeada por alguien y se usa para atacar a otros a través de ssh, ¿cómo detenerlo? [duplicar]

0

Alojé mi sitio web personal en digitalocean. Hoy en día, recibí muchas quejas de abuso que finalmente las hicieron apagar mi máquina. Me siento muy triste y enojada.

Alguien se queja de que mi máquina está acostumbrada a atacar su máquina a través de ssh. Reviso mi máquina y encuentro dos sospechosos:

root@eva:~# lsof -i 
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME 
sshd 566 root 3r IPv6 7494 0t0 TCP *:ssh (LISTEN) 
sshd 566 root 4u IPv4 7518 0t0 TCP *:ssh (LISTEN) 
php5-fpm 671 root 6u IPv4 7849 0t0 TCP localhost:9000 (LISTEN) 
php5-fpm 672 www-data 0u IPv4 7849 0t0 TCP localhost:9000 (LISTEN) 
php5-fpm 673 www-data 0u IPv4 7849 0t0 TCP localhost:9000 (LISTEN) 
php5-fpm 674 www-data 0u IPv4 7849 0t0 TCP localhost:9000 (LISTEN) 
php5-fpm 675 www-data 0u IPv4 7849 0t0 TCP localhost:9000 (LISTEN) 
mysqld 759 mysql 10u IPv4 8233 0t0 TCP localhost:mysql (LISTEN) 
bash 1018 root 3u IPv4 8700 0t0 TCP *:3245 (LISTEN) 
bash 1018 root 8u IPv4 8783 0t0 TCP mysitename.com:57728->91.236.182.1:ircd (ESTABLISHED) 
bash 1018 root 9u IPv4 8714 0t0 TCP mysitename.com->ircu.atw.hu:ircd (ESTABLISHED) 
apache2 30915 root 3u IPv4 4216829 0t0 TCP *:http (LISTEN) 
apache2 30920 www-data 3u IPv4 4216829 0t0 TCP *:http (LISTEN) 
apache2 30921 www-data 3u IPv4 4216829 0t0 TCP *:http (LISTEN) 
apache2 30922 www-data 3u IPv4 4216829 0t0 TCP *:http (LISTEN) 
apache2 30923 www-data 3u IPv4 4216829 0t0 TCP *:http (LISTEN) 
apache2 30924 www-data 3u IPv4 4216829 0t0 TCP *:http (LISTEN) 
sshd 30948 root 3r IPv4 4217444 0t0 TCP mysitename.com:ssh->210006025170.ctinets.com:64144    (ESTABLISHED)

¿Qué es el IRC? Vuelven a salir después de que los mate. ¿Cómo puedo arreglar esto y contraatacar? ¿Alguien puede explicar la teoría de cómo fui atacado? y en general, cómo reaccionar después de haber sido atacado.

ps. Realmente realicé una pequeña cantidad de operaciones en mi máquina, solo alojé mi sitio web allí. Básicamente, acabo de cambiar las cosas en / etc / apache2 y / var / www

    
pregunta hakunami 10.04.2014 - 11:42
fuente

1 respuesta

1

Puede comenzar bloqueando todo el tráfico ssh saliente de su servidor usando iptables:

#iptables -A OUTPUT -p tcp –dport 22 -j DROP
    
respondido por el TMR_OS 10.04.2014 - 12:19
fuente

Lea otras preguntas en las etiquetas