web-dev-qa-db-fra.com

Mon serveur a potentiellement piraté. Comment nettoyer un serveur des processus malveillants

Je suis un débutant et mon premier serveur semble avoir été piraté. Je ne sais pas comment le nettoyer. Il existe des processus monopolisant le processeur dont je ne suis pas propriétaire. Les 12 CPU fonctionnent presque tous à 100%. Veuillez voir la capture d'écran htop htop sur le serveur

J'ai exécuté un netstat et ci-dessous est un résumé de la sortie

Sudo netstat -anolp
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name    Timer
tcp        0      0 127.0.0.1:9001          0.0.0.0:*               LISTEN      4869/Java           off (0.00/0/0)
tcp        0      0 127.0.0.1:27017         0.0.0.0:*               LISTEN      15327/mongod        off (0.00/0/0)
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN      4124/mysqld         off (0.00/0/0)
tcp        0      0 127.0.0.1:9100          0.0.0.0:*               LISTEN      24415/node_exporter off (0.00/0/0)
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      16039/nginx -g daem off (0.00/0/0)
tcp        0      0 127.0.0.1:8080          0.0.0.0:*               LISTEN      5824/config.ru      off (0.00/0/0)
tcp        0      0 127.0.0.1:9168          0.0.0.0:*               LISTEN      24370/Ruby          off (0.00/0/0)
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      13595/sshd          off (0.00/0/0)
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      2370/master         off (0.00/0/0)
tcp        0      0 127.0.0.1:9121          0.0.0.0:*               LISTEN      24450/redis_exporte off (0.00/0/0)
tcp        0      0 127.0.0.1:9090          0.0.0.0:*               LISTEN      24429/prometheus    off (0.00/0/0)
tcp        0      0 127.0.0.1:9187          0.0.0.0:*               LISTEN      24421/postgres_expo off (0.00/0/0)
tcp        0      1 my.ser.ver.ip:41037    172.247.116.47:2017     SYN_SENT    26521/mbb           on (57.32/6/0)
tcp        0      0 my.ser.ver.ip:45599    124.112.1.160:29135     ESTABLISHED 32265/DDosClient    off (0.00/0/0)
tcp        0      0 127.0.0.1:9001          127.0.0.1:54729         ESTABLISHED 4869/Java           keepalive (2412.64/0/0)
tcp        0      0 my.ser.ver.ip:49366    31.222.161.239:8080     ESTABLISHED 14106/hald-daemon   off (0.00/0/0)
tcp        0      0 my.ser.ver.ip:57275    163.172.204.219:443     ESTABLISHED 20238/wDHnu         keepalive (45.40/0/0)
tcp        0      0 127.0.0.1:9001          127.0.0.1:54909         ESTABLISHED 4869/Java           keepalive (2445.40/0/0)
tcp        0      0 my.ser.ver.ip:56654    45.125.34.159:6969      ESTABLISHED 27006/XDTQK         off (0.00/0/0)

J'ai essayé de les tuer en utilisant kill avec leur PID un par un, mais après un certain temps, ils sont revenus. J'ai donc vérifié mon cron, et il y avait des entrées que je n'ai pas faites, je les efface également. J'ai comparé les crons avec une nouvelle box que je viens de lancer.

J'ai désactivé la connexion root, créé un autre sudoer avec un fichier pem à la place. Maintenant, je dois trouver un moyen de nettoyer cela une fois pour toutes et je manque d'expérience. Est-ce que quelqu'un peut m'aider s'il vous plait?

Merci d'avance

1
highjo

Si vous êtes sûr à 100% d'avoir été piraté, la meilleure façon d'agir est de configurer à partir de zéro.

  • Bien sûr, vous pourriez peut-être le réparer et récupérer votre machine, mais seriez-vous vraiment en mesure de faire confiance à cette installation par la suite?
  • Savez-vous que vous avez réparé toutes les portes dérobées qu'elles auraient pu installer?

Et surtout, mettez ce serveur hors ligne afin qu'il ne puisse pas être utilisé à des fins d'attaquants.

Pendant que la machine est hors ligne pour le public, vous souhaiterez peut-être diagnostiquer la violation et en tirer des enseignements en matière de sécurité, puis la configurer à partir de zéro. Je vois dans votre capture d'écran que GitLab fonctionne sur cette machine. Ce devrait être les seules données que vous devriez sauvegarder et reprendre, mais pas avant de les analyser à fond et de vérifier la base de données pour toutes les entrées frauduleuses qui permettraient de nouvelles violations.

Et oubliez de lire une sauvegarde, elle pourrait contenir encore le trou qui permettait à l'attaquant d'entrer.

Sauvegardez donc vos données, puis installez cette machine à partir de zéro, et surtout relancez tous les mots de passe qui pourraient également avoir été compromis dans le processus.

Désolé de vous le dire, mais c'est la meilleure solution que vous puissiez prendre.

1
Videonauth