สวัสดีครับ
ผมอยากขอความรู้หน่อยครับ
คือเครื่อง Server ผมถูก hack แล้วใช้เครื่อง Server ผม ssh ไปที่ port22 เต็มไปหมดเลย
ตอนนี้ได้รับเมล์แจ้งจากเจ้าของตู้หลายครั้งแล้วว่าทาง IDC แจ้งมา ถ้าไม่แก้ไขจะถูกปิด IP
ผมลอง netstat -an แล้วพบ Connection ที่ออกไปทาง port 22 จากเครื่องผมจริง ๆ
เป็นร้อย ๆ เลยครับ ip ปลายทางเป็นของต่างประเทศครับ
อยากทราบว่า แบบนี้ผมควรจะต้องเริมตรวจสอบเครื่องยังไงบ้างครับ
และอยากทราบวิธีแก้ไข หรือป้องกันด้วยน่ะครับ
Centos 5
DirectAdmin
Apf Firewall
Chrootkit
Rkhunter
Disable Root ssh แล้วครับ
ขอบคุณครับ
lsof ช่วยคุณได้ครับ
man lsof
hint หา pid ของ process ที่รันแล้ว ssh ออกไป แล้ว lsof ดูว่าไฟล์อะไรที่รันอยู่บ้าง น่าจะเป็น bot น่ะครับ
แล้วก็แก้ไข ลบทิ้ง อุดช่องที่เขาเข้ามา
ดูไฟล์ใน /tmp ดีๆครับ… มักจะเจอในนั้น…หาก Access มาจากภายนอกผ่านพวก httpd/php
ems
4
ถ้ายังหาไม่เจอใช้คำสั่งนี้ชั่วคราวไปก่อน
iptables -A OUTPUT -p tcp --dport 22 -j DROP
รบกวนขอตัวอย่างคำสั่งหน่อยสิครับ
เพราะลอง lsof แล้วขึ้นมาเพียบเลย
ถ้ายังหาไม่เจอ จะลองดูครับ
ของคุณครับ
ขอดูผลลัพธ์ของคำสั่งนี้หน่อยครับ
ps auxf
หา process ที่มันแปลกๆครับ แล้วก็ ดูค่า pid มา (ใช้พวก ps, หรือ top นี่แหละ)
จากนั้นก็ lsof -p pid มันจะลิสออกมาว่า ไฟล์อะไรบ้างทีรันในโปรเซสนี้