Questão É / root / b26 um processo DDoS?


Eu encontrei este processo:

/root/b26

Aqui está um top:

  PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND
20810 root      20   0  339m  808  360 S  100  0.0  27:39.95 b26

Eu vi isso usar 100% da CPU, e o nome do processo não é muito descritivo, então parece que pode ser um processo ruim.

Pesquisei no Google e não recebo muita informação sobre esse processo. Mas eu vi que havia alguém que disse que esse processo estava DDoS ataques. Meu host também relatou para mim que meu servidor estava enviando ataques DDoS de saída. Este poderia ser o processo que está fazendo isso?

Isso seria o mesmo para mim? Devo removê-lo? Se sim, como posso removê-lo?


0


origem


Se o seu servidor está enviando ataques externos, coloque-o offline primeiro! Por favor? - K.A
Foi-me dito para fazer isso: iptables -A OUTPUT -p tcp --syn -m limit --limit 1/s --limit-burst 3 -j DROP enquanto isso está acontecendo, então eu tenho isso. Disseram-me que isso impediria o servidor de enviar ataques até que eu descobrisse, então posso descartá-lo. - Get Off My Lawn


Respostas:


Confie em seu host para conhecer um DDOS de saída quando ele vir um.

E sim, uma rápida pesquisa na WWW mostra o script usado para instalar isso.

Seu computador teve sua conta de superusuário comprometida. O invasor instalou pelo menos duas outras contas equivalentes a raiz no banco de dados de senhas e, possivelmente, também em outras portas traseiras; e como seu host informou a você, seu computador agora faz parte de uma botnet que envia ataques DDOS a terceiros.

  • Desligue completamente o acesso à rede do seu computador, agora mesmo. Não se mexa. Não experimente Vire-o fora.
  • Limpe seu computador. Limpe e reinstale a partir de uma fonte confiável para obter melhores resultados.
  • Use uma nova senha de root. Configurá-lo antes você restaura o acesso de rede ao seu computador e depois de limpando. Não use algo estúpido, e para obter melhores resultados, aproveite todas as facilidades que você tem para impedir que as pessoas acessem o seu computador remotamente (de qualquer maneira, como um superusuário ou outro) em primeiro lugar.

Leitura adicional


2



Eu desliguei o VPS, e criei um novo VPS e reinstalei tudo. - Get Off My Lawn