Я не понимаю, меня взломали или нет?

[Tpona]

lsof -i

(Нажмите, чтобы показать/скрыть)

sshd      3106        root    3u  IPv4   4496      0t0  TCP alpha.mdmn.ru:ssh->31-42-234-12.an-net.ru:61261 (ESTABLISHED)
sshd      3348        root    3u  IPv4   5059      0t0  TCP alpha.mdmn.ru:ssh->static.196.100.63.178.clients.your-server.de:52664 (ESTABLISHED)
sshd      3421      autoru    3u  IPv4   5059      0t0  TCP alpha.mdmn.ru:ssh->static.196.100.63.178.clients.your-server.de:52664 (ESTABLISHED)
sshd      3429        root    3u  IPv4  10362      0t0  TCP alpha.mdmn.ru:ssh->static.105.62.76.144.clients.your-server.de:48895 (ESTABLISHED)
sshd      3503      autoru    3u  IPv4  10362      0t0  TCP alpha.mdmn.ru:ssh->static.105.62.76.144.clients.your-server.de:48895 (ESTABLISHED)
sshd      3503      autoru    9u  IPv4  10449      0t0  TCP alpha.mdmn.ru:59514->fa-in-f100.1e100.net:smtp (SYN_SENT)
sshd      3503      autoru   10u  IPv4  10459      0t0  TCP alpha.mdmn.ru:59518->fa-in-f100.1e100.net:smtp (SYN_SENT)
sshd      3503      autoru   11u  IPv4  10489      0t0  TCP alpha.mdmn.ru:59522->fa-in-f100.1e100.net:smtp (SYN_SENT)
sshd      3503      autoru   13u  IPv4  10461      0t0  TCP alpha.mdmn.ru:59519->fa-in-f100.1e100.net:smtp (SYN_SENT)
sshd      3503      autoru   14u  IPv4  10463      0t0  TCP alpha.mdmn.ru:59520->fa-in-f100.1e100.net:smtp (SYN_SENT)
ntpd      1505        ntpd    3u  IPv4   2320      0t0  UDP alpha.mdmn.ru:46599->korred.spirit.gkhs.net:ntp
ntpd      1505        ntpd    6u  IPv4   2321      0t0  UDP alpha.mdmn.ru:40379->ran.as65342.net:ntp
ntpd      1505        ntpd    7u  IPv4   2322      0t0  UDP alpha.mdmn.ru:60756->stratum2-4.NTP.TechFak.NET:ntp
ntpd      1505        ntpd    8u  IPv4   2323      0t0  UDP alpha.mdmn.ru:37556->s1.heikorichter.name:ntp

тут нет моих хостов которых я знаю ((

[Sly_tom_cat]

ssh на порту по умолчанию?
Руту разрешен вход на ssh?
У рута простой пароль?

Если да, да, да, то ответ: да взломали. Потому что ТССЗБ.

[svtv1]

Должно быть примерно так, ну а дальше сам думай .

(Нажмите, чтобы показать/скрыть)

[DDD_SSS]

Для общей грамотности, что дает данная команда?

[svtv1]

Для общей грамотности, что дает данная команда?

Она выдает какие файлы и прочие ресурсы используются, включая сетевые сокеты.

[Tpona]

ssh на порту по умолчанию?
Руту разрешен вход на ssh?
У рута простой пароль?

Если да, да, да, то ответ: да взломали. Потому что ТССЗБ.

ssh на порту по-умолчанию
руту разрешен вход на ssh
у рута сложный 14-сивмольный пароль буквы-цифры-регистр, настроен fail2ban на бан по неуспешным аут-циям.

Да походу ЯССЗБ )

Что делать?
Возможно ли выкинуть их как-то с сервера и перенастроить права на папки, чтобы были дефолтные, вижу в некоторых системных папках нереально настроенные полные права доступа к файлам.

[Sly_tom_cat]

Ну видимо "сложный 14-сивмольный пароль буквы-цифры-регистр, настроен fail2ban на бан по неуспешным аут-циям" не помогло.

Руту на ssh заходить - не нужно (и это по дефолту запрещено). Разлочив вход руту на ssh вы на много порядков упростили задачу взлома.

ssh на дефолтовом порту начинают атаковать в первые часы поднятия сервера в интернете (по моему опыту) то же самое с попытками взлома HTTP сервера. В сети работает просто немерянное количество сетей для взлома, от любительских, до вполне профессиональных (порой даже связанных с правительствами некоторых стран....)

Если вы уже обнаружили следы проникновения (то что сами явно никогда не делали), то правильным будет снести сервер и проставить его с нуля или поднять из бекапа (на тот момент когда вы уверены что не было проникновения).

И первым делом (это почти как заклинание от сглаза - нужно проделывать всегда быстро после выставления сервера на белом IP, а лучше до выставления):
1. ssh сносим на нестандартный порт.
2. Создаем привилегированного пользователя (с правом на sudo) - и на ssh заходим только им (руту вход запретить).

Или как вариант для п. 2 - настроит аутентификацию по ключам и по login/password вообще закрыть доступ.

[ru_kane]

а еще можно - разрешить вход только со своего ip.

ну и конечно же первым делом изменить этот сложный пароль.

[Sly_tom_cat]

А смысл менять пароли?
Если было проникновение то там уже может стоять кучка троянов и всяких бекдоров. Копать имеет смысл если это принесет вам прибыль (хотя бы эмоциональную) если нужен рабочий сервер - то только "до основания, а затем" даст разумные сроки восстановления сервиса и гарантированное прекращение любой нежелательной активности на своем сервере.

[ru_kane]

вообщем то да, если там уже сидят бекдоры, то только переустановка.

[DDD_SSS]

Извините, а это нормально, что идет обращение к static.itmages.ru и к customer.teliacarrier.com про последний тут говорят http://forum.ixbt.com/topic.cgi?id=7:38779 это нормально ?

[ru_kane]

ну если оттуда ваши картинки подтягиваются, то нормально, а если вы этого не делали, то ненормально-))

[Freezeman]

https://events.yandex.ru/lib/talks/2674/

Ну и вообще: https://events.yandex.ru/lib/people/23220/

[DDD_SSS]

ну если оттуда ваши картинки подтягиваются, то нормально, а если вы этого не делали, то ненормально-))

Какие картинки static.itmages.ru я туда только картинку заливал чтобы сюда тему разместить и все.

[Peter_I]

Я совершенно не специалист по сетям, но вход по ssh по умолчнию разрешён
любому обычному пользователю. И создавать пользователя с правом sudo -
это ведь то же самое, что создать ещё одного root. Наоборот, не должно
быть такого пользователя, тем более на сервере.