Mon serveur a potentiellement piraté. Comment nettoyer un serveur des processus malveillants
Je suis un débutant et mon premier serveur semble avoir été piraté. Je ne sais pas comment le nettoyer. Il existe des processus monopolisant le processeur dont je ne suis pas propriétaire. Les 12 CPU fonctionnent presque tous à 100%. Veuillez voir la capture d'écran htop htop sur le serveur
J'ai exécuté un netstat et ci-dessous est un résumé de la sortie
Sudo netstat -anolp
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name Timer
tcp 0 0 127.0.0.1:9001 0.0.0.0:* LISTEN 4869/Java off (0.00/0/0)
tcp 0 0 127.0.0.1:27017 0.0.0.0:* LISTEN 15327/mongod off (0.00/0/0)
tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 4124/mysqld off (0.00/0/0)
tcp 0 0 127.0.0.1:9100 0.0.0.0:* LISTEN 24415/node_exporter off (0.00/0/0)
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 16039/nginx -g daem off (0.00/0/0)
tcp 0 0 127.0.0.1:8080 0.0.0.0:* LISTEN 5824/config.ru off (0.00/0/0)
tcp 0 0 127.0.0.1:9168 0.0.0.0:* LISTEN 24370/Ruby off (0.00/0/0)
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 13595/sshd off (0.00/0/0)
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 2370/master off (0.00/0/0)
tcp 0 0 127.0.0.1:9121 0.0.0.0:* LISTEN 24450/redis_exporte off (0.00/0/0)
tcp 0 0 127.0.0.1:9090 0.0.0.0:* LISTEN 24429/prometheus off (0.00/0/0)
tcp 0 0 127.0.0.1:9187 0.0.0.0:* LISTEN 24421/postgres_expo off (0.00/0/0)
tcp 0 1 my.ser.ver.ip:41037 172.247.116.47:2017 SYN_SENT 26521/mbb on (57.32/6/0)
tcp 0 0 my.ser.ver.ip:45599 124.112.1.160:29135 ESTABLISHED 32265/DDosClient off (0.00/0/0)
tcp 0 0 127.0.0.1:9001 127.0.0.1:54729 ESTABLISHED 4869/Java keepalive (2412.64/0/0)
tcp 0 0 my.ser.ver.ip:49366 31.222.161.239:8080 ESTABLISHED 14106/hald-daemon off (0.00/0/0)
tcp 0 0 my.ser.ver.ip:57275 163.172.204.219:443 ESTABLISHED 20238/wDHnu keepalive (45.40/0/0)
tcp 0 0 127.0.0.1:9001 127.0.0.1:54909 ESTABLISHED 4869/Java keepalive (2445.40/0/0)
tcp 0 0 my.ser.ver.ip:56654 45.125.34.159:6969 ESTABLISHED 27006/XDTQK off (0.00/0/0)
J'ai essayé de les tuer en utilisant kill avec leur PID un par un, mais après un certain temps, ils sont revenus. J'ai donc vérifié mon cron, et il y avait des entrées que je n'ai pas faites, je les efface également. J'ai comparé les crons avec une nouvelle box que je viens de lancer.
J'ai désactivé la connexion root, créé un autre sudoer avec un fichier pem à la place. Maintenant, je dois trouver un moyen de nettoyer cela une fois pour toutes et je manque d'expérience. Est-ce que quelqu'un peut m'aider s'il vous plait?
Merci d'avance
Si vous êtes sûr à 100% d'avoir été piraté, la meilleure façon d'agir est de configurer à partir de zéro.
- Bien sûr, vous pourriez peut-être le réparer et récupérer votre machine, mais seriez-vous vraiment en mesure de faire confiance à cette installation par la suite?
- Savez-vous que vous avez réparé toutes les portes dérobées qu'elles auraient pu installer?
Et surtout, mettez ce serveur hors ligne afin qu'il ne puisse pas être utilisé à des fins d'attaquants.
Pendant que la machine est hors ligne pour le public, vous souhaiterez peut-être diagnostiquer la violation et en tirer des enseignements en matière de sécurité, puis la configurer à partir de zéro. Je vois dans votre capture d'écran que GitLab fonctionne sur cette machine. Ce devrait être les seules données que vous devriez sauvegarder et reprendre, mais pas avant de les analyser à fond et de vérifier la base de données pour toutes les entrées frauduleuses qui permettraient de nouvelles violations.
Et oubliez de lire une sauvegarde, elle pourrait contenir encore le trou qui permettait à l'attaquant d'entrer.
Sauvegardez donc vos données, puis installez cette machine à partir de zéro, et surtout relancez tous les mots de passe qui pourraient également avoir été compromis dans le processus.
Désolé de vous le dire, mais c'est la meilleure solution que vous puissiez prendre.