Proceso de desbordamiento de búfer en mi servidor (¿Cómo detectar rootkit)? [duplicar]

-1

Hoy actualizo mi servidor web en Cent OS 6 y me gusta esto si veo la parte superior

 2593 root      20   0  196m 5228  212 S 730.6  0.1 484:18.06 wjeackglrl
 8648 bitrix    20   0  399m  85m 7580 R 42.5  2.2   0:23.72 php
 2184 mysql     20   0 2386m 1.0g 5820 S  9.6 26.5   6:24.16 mysqld
   13 root      20   0     0    0    0 S  2.3  0.0   0:40.89 ksoftirqd/2
   17 root      20   0     0    0    0 S  2.0  0.0   0:42.32 ksoftirqd/3
   21 root      20   0     0    0    0 S  2.0  0.0   0:42.08 ksoftirqd/4
   25 root      20   0     0    0    0 S  2.0  0.0   0:40.31 ksoftirqd/5
   29 root      20   0     0    0    0 S  2.0  0.0   0:39.51 ksoftirqd/6
    4 root      20   0     0    0    0 S  1.7  0.0   0:32.24 ksoftirqd/0
   33 root      20   0     0    0    0 S  1.7  0.0   0:34.97 ksoftirqd/7
    9 root      20   0     0    0    0 S  1.3  0.0   0:37.43 ksoftirqd/1
    1 root      20   0 19352 1536 1212 S  0.0  0.0   0:06.73 init
    2 root      20   0     0    0    0 S  0.0  0.0   0:00.00 kthreadd
    3 root      RT   0     0    0    0 S  0.0  0.0   0:00.13 migration/0
    5 root      RT   0     0    0    0 S  0.0  0.0   0:00.00 stopper/0
    6 root      RT   0     0    0    0 S  0.0  0.0   0:00.08 watchdog/0
    7 root      RT   0     0    0    0 S  0.0  0.0   0:00.12 migration/1

Procesamiento de raíz mata a wjeackglrl mi sistema en el servidor web y es muy, muy lento. Soy el proceso de matar, pero el servidor web estúpido. ¿Cómo buscar este rootkit en el sistema?

    
pregunta Vasilyuk Dmitry 17.03.2017 - 12:14
fuente

1 respuesta

3

En tu lugar, volvería a crear una imagen de todo esto.

Sea lo que sea, tiene una raíz y podría haber hecho muchas cosas para intentar y persistir en tu servidor.

Ya que menciona que esto está en un servidor web, probablemente debería considerar cualquier certificado TLS y sus claves privadas comprometidas, y tomar las medidas necesarias para revocarlos.

Si ha auditado en su lugar, puede haber algunos registros que muestren lo que se podría haber hecho, pero nuevamente, dado que esto tiene una raíz, puede haber preguntas sobre qué tan confiable sería el registro.

Si estuviera considerando seriamente investigar, idealmente, haría una copia de todo el disco y, si es posible, un volcado de memoria. Podría usar algo como sysdig y Falco para intentar obtener una idea sin tener que deshacerse de nada, pero la idea posiblemente será limitada (y una vez más, el atacante tiene una raíz, por lo que podría afectar lo que ves).

Pero esto sería solo para su satisfacción, y (al menos para mí) no cambiaría el hecho de que tendría que volver a instalar todo el sistema desde cero.

    
respondido por el iwaseatenbyagrue 17.03.2017 - 12:22
fuente

Lea otras preguntas en las etiquetas