ได้รับแจ้งจาก IDC ว่าเครื่องยิงออกไปเลยถูกบล็อก Inter ช่วยแนะนำด้วยครับ

ได้รับแจ้งจาก IDC ว่าเครื่องยิงออกไปเลยถูกบล็อก Inter ช่วยแนะนำด้วยครับ

ลอง top ดูมี process id 14763 ที่ command มันแปลกๆ อยู่

PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND

ได้ลองสั่ง kill แล้ว
14763 root 20 0 73948 1944 212 S 44.6 0.1 21:59.62 vxiftltuve

แต่มันก็กลับมาอีก ช่วยแนะนำด้วยครับ
24895 root 20 0 31952 784 204 S 44.6 0.0 0:09.97 hzarfcslaw

พอจะมีวิธีเช็คไหมครับ ว่าคำสั่งถูกรันจากที่ไหน แต่ดันเป็น root รัน หรือว่าเครื่องถูก Hack ไหมครับ

ขอบคุณครับ

ถ้าถึงขนาดรันเปน root ได้นี่เรียกว่าโดนเจาะเละแล้วครับ

  • process น่าจะ start จากใน cron ครับ ลองไล่ดู /etc/crontab , /etc/cron.d/* , /var/spool/cron/*
  • แล้วก็ เคย upgrade kernel บ้างรึเปล่าครับ? uname -a ดู
  • ลอง ps wauxf ดูเพิ่มด้วยว่า process นั้นมี parent อะไรยังไง

เครื่องยังเป็น centos5 อยู่เลย ลองไล่ดูทุกตำแหน่งของ cron แล้วปกติครับ ในส่องของยูสเชอร์ไม่มีใครตั้ง cron ไว้เลย

แต่ลอง ps wauxf แล้วขึ้นแบบนี้ครับ
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
root 24895 34.2 0.0 32544 852 ? Ssl 09:42 17:35 netstat -an

ลองตามเข้าไปดูใน process id ขึ้นแบบนี้ครับ
[root@sv04res 24895]# cd /proc/24895
[root@sv04res 24895]# ls -la
total 0
dr-xr-xr-x 6 root root 0 Aug 11 09:42 .
dr-xr-xr-x 146 root root 0 Aug 11 08:56 …
-r-------- 1 root root 0 Aug 11 10:51 auxv
-r–r--r-- 1 root root 0 Aug 11 10:51 cgroup
–w------- 1 root root 0 Aug 11 10:51 clear_refs
-r–r--r-- 1 root root 0 Aug 11 09:42 cmdline
-rw-r–r-- 1 root root 0 Aug 11 10:51 coredump_filter
-r–r--r-- 1 root root 0 Aug 11 10:51 cpuset
lrwxrwxrwx 1 root root 0 Aug 11 10:51 cwd -> /
-r-------- 1 root root 0 Aug 11 10:51 environ
lrwxrwxrwx 1 root root 0 Aug 11 09:42 exe -> /usr/bin/hzarfcslaw
dr-x------ 2 root root 0 Aug 11 10:51 fd
dr-x------ 2 root root 0 Aug 11 10:51 fdinfo
-r-------- 1 root root 0 Aug 11 10:51 io
-rw------- 1 root root 0 Aug 11 10:51 limits
-rw-r–r-- 1 root root 0 Aug 11 10:51 loginuid
-r–r--r-- 1 root root 0 Aug 11 10:51 maps
-rw------- 1 root root 0 Aug 11 10:51 mem
-r–r--r-- 1 root root 0 Aug 11 10:51 mountinfo
-r–r--r-- 1 root root 0 Aug 11 10:51 mounts
-r-------- 1 root root 0 Aug 11 10:51 mountstats
dr-xr-xr-x 4 root root 0 Aug 11 09:42 net
-r–r--r-- 1 root root 0 Aug 11 10:51 numa_maps
-rw-r–r-- 1 root root 0 Aug 11 10:51 oom_adj
-r–r--r-- 1 root root 0 Aug 11 10:51 oom_score
-rw-r–r-- 1 root root 0 Aug 11 10:51 oom_score_adj
-r–r--r-- 1 root root 0 Aug 11 10:51 pagemap
-r–r--r-- 1 root root 0 Aug 11 10:51 personality
lrwxrwxrwx 1 root root 0 Aug 11 10:51 root -> /
-rw-r–r-- 1 root root 0 Aug 11 10:51 sched
-r–r--r-- 1 root root 0 Aug 11 10:51 schedstat
-r–r--r-- 1 root root 0 Aug 11 10:51 sessionid
-r–r--r-- 1 root root 0 Aug 11 10:51 smaps
-r–r--r-- 1 root root 0 Aug 11 10:51 stack
-r–r--r-- 1 root root 0 Aug 11 09:42 stat
-r–r--r-- 1 root root 0 Aug 11 09:42 statm
-r–r--r-- 1 root root 0 Aug 11 09:42 status
-r–r--r-- 1 root root 0 Aug 11 10:51 syscall
dr-xr-xr-x 6 root root 0 Aug 11 10:51 task
-r–r--r-- 1 root root 0 Aug 11 10:51 wchan

kernel ตัวไหนคัรบ?

เครื่องเป็น VM นะครับ

uname -a

Linux host.domain.com 2.6.32-27-pve #1 SMP Tue Feb 11 16:18:29 CET 2014 x86_64 x86_64 x86_64 GNU/Linux

หะๆ เก่ามากครับ มีช่องโหว่เต็มเลย

นอกจากต้อง up os ตัวลูกแลวน่าจะต้อง up kernel ตัวแม่ด้วยครับ

เดี๋ยวลงใหม่ลองอัพไป CentOS 6 ดูก่อน ตัวหลักยังใช้เป็น Proxmox 3 อยู่เลย ขอบคุณครับ

รับประกันได้ครับว่าไม่ up kernel ก็โดนเจาะอยู่นั่นแหละครับ ซึ่ง openvz ต้อง up kernel ตัวด้านนอกเลยครับ

ไหนๆ จะเหนื่อยแล้ว centos 7 เลยดิท่าน เดี๋ยว 6 ก็เก่าอีกอะ

ปูเสื่อรอ