Форум русскоязычного сообщества Ubuntu


Следите за новостями русскоязычного сообщества Ubuntu в Twitter-ленте @ubuntu_ru_loco

Автор Тема: Начали блокироваться порты  (Прочитано 9388 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Dzhoser

  • Гость
Re: Начали блокироваться порты
« Ответ #15 : 22 Ноября 2019, 18:32:43 »
sed 's/:.*//' /etc/passwdПосмотрите нет ли новых пользователей
« Последнее редактирование: 22 Ноября 2019, 20:35:03 от Dzhoser »

Оффлайн VirtUX

  • Автор темы
  • Новичок
  • *
  • Сообщений: 29
    • Просмотр профиля
Re: Начали блокироваться порты
« Ответ #16 : 22 Ноября 2019, 18:37:18 »
Не вижу новых...
(Нажмите, чтобы показать/скрыть)
Ничто не вечно под Луной

Dzhoser

  • Гость
Re: Начали блокироваться порты
« Ответ #17 : 22 Ноября 2019, 20:07:50 »
Подозрительные пользователи
sshd
usbmux
kernoops

Пользователь добавил сообщение 22 Ноября 2019, 20:10:18:
find / -type f -mtime -10Эта команда покажет файлы которые изменились за 10 дней. Вы можете поставить поменьше чтобы определить, что поменялось.


Пользователь добавил сообщение 22 Ноября 2019, 20:12:16:
Особенно обратите внимание на вновь созданные файлы, и на изменения в директориях /etc и *bin/. В первой могли править системные конфиги, а во вторые могли напихать троянов и подменить демоны — в том числе и SSH.

Пользователь добавил сообщение 22 Ноября 2019, 20:13:41:
Также проверте автозапуск на подозрительные объекты.

Пользователь добавил сообщение 22 Ноября 2019, 20:20:49:
sudo apt install -y --reinstall $(dpkg -S $(debsums -c) | cut -d : -d 1| uniq -u)Эта команда переустановит модифицированные деб пакеты у которых есть повреждения.

Пользователь добавил сообщение 22 Ноября 2019, 20:32:07:
Смотрим процессы ps auwfxЕсли в списке процессов видим какой-то неизвестный процесс или процесс с высокой нагрузкой (об этом может свидетельствовать высокие показатели Load Average), то необходимо его изучить. В этом может помочь команда lsof -p PID (вместо PID номер процесса), она пока покажет список файлов используемых процессом. Также можно запустить strace -p PID и посмотреть что именно делает процесс в данный момент.

С помощью программы iftop можно посмотреть трафик на сервере в реальном времени, это поможет обнаружить процессы, которые могут осуществлять исходящие DDoS-атаки. Если такие процессы существуют, то можно воспользоваться утилитой tcpdump для просмотра трафика и адресов куда он направляется, открытые сетевые соединения можно просмотреть командой lsof -i или netstat -tulpanПроверте сервер rkhunter https://losst.ru/proverka-linux-na-virusy

После того как были просмотрены все текущие процессы и трафик на сервере необходимо отключить зараженные сервисы и с помощью команды kill -9 PID убить вредоносные процессы.


Пользователь добавил сообщение 22 Ноября 2019, 20:38:19:
Стоит проверить все сервисы в автозагрузке с помощью команд:
systemd:
systemctl list-unit-files | grep enabledsystemv:
service --status-all | grep +upstart:
initctl list | awk '{print $1}' | xargs initctl show-config
« Последнее редактирование: 22 Ноября 2019, 20:41:25 от Dzhoser »

 

Страница сгенерирована за 0.053 секунд. Запросов: 25.