Подозрительные пользователи
sshd
usbmux
kernoops
Пользователь добавил сообщение 22 Ноября 2019, 20:10:18:
find / -type f -mtime -10
Эта команда покажет файлы которые изменились за 10 дней. Вы можете поставить поменьше чтобы определить, что поменялось.
Пользователь добавил сообщение 22 Ноября 2019, 20:12:16:
Особенно обратите внимание на вновь созданные файлы, и на изменения в директориях /etc и *bin/. В первой могли править системные конфиги, а во вторые могли напихать троянов и подменить демоны — в том числе и SSH.
Пользователь добавил сообщение 22 Ноября 2019, 20:13:41:
Также проверте автозапуск на подозрительные объекты.
Пользователь добавил сообщение 22 Ноября 2019, 20:20:49:
sudo apt install -y --reinstall $(dpkg -S $(debsums -c) | cut -d : -d 1| uniq -u)
Эта команда переустановит модифицированные деб пакеты у которых есть повреждения.
Пользователь добавил сообщение 22 Ноября 2019, 20:32:07:
Смотрим процессы
ps auwfx
Если в списке процессов видим какой-то неизвестный процесс или процесс с высокой нагрузкой (об этом может свидетельствовать высокие показатели Load Average), то необходимо его изучить. В этом может помочь команда
lsof -p PID
(вместо PID номер процесса), она пока покажет список файлов используемых процессом. Также можно запустить
strace -p PID
и посмотреть что именно делает процесс в данный момент.
С помощью программы
iftop
можно посмотреть трафик на сервере в реальном времени, это поможет обнаружить процессы, которые могут осуществлять исходящие DDoS-атаки. Если такие процессы существуют, то можно воспользоваться утилитой
tcpdump
для просмотра трафика и адресов куда он направляется, открытые сетевые соединения можно просмотреть командой
lsof -i
или
netstat -tulpan
Проверте сервер rkhunter
https://losst.ru/proverka-linux-na-virusyПосле того как были просмотрены все текущие процессы и трафик на сервере необходимо отключить зараженные сервисы и с помощью команды
kill -9 PID
убить вредоносные процессы.
Пользователь добавил сообщение 22 Ноября 2019, 20:38:19:
Стоит проверить все сервисы в автозагрузке с помощью команд:
systemd:
systemctl list-unit-files | grep enabled
systemv:
service --status-all | grep +
upstart:
initctl list | awk '{print $1}' | xargs initctl show-config