Python 스크립트를 실행하는 프로세스의 소스 찾기 [닫기]

tag-icon tag-icon centos process python cpu
Python 스크립트를 실행하는 프로세스의 소스 찾기 [닫기]

지난 달부터 일부 프로세스는 LAMP 스택이 포함된 centos 6을 사용하여 내 서버에서 Python 스크립트를 실행하고 있습니다. 이는 스팸 봇일 뿐이며 서버 리소스를 차지합니다. 아래 사진을 확인해주세요,

상단 스크린샷

이러한 Python 스크립트를 정확히 실행하는 것이 무엇인지 어떻게 알 수 있습니까?

--업데이트-- 이 명령은 루트로 실행되었기 때문에 루트킷 Hunter(rkhunter)를 사용하여 시스템을 검사한 결과 내 SSH가 손상되었음을 발견했습니다(가능한 루트킷: Trojan SSH 데몬). 그래서 저는 다음과 같이 했습니다.

#removed ssh
chattr -aui /usr/sbin/sshd
rm -f /usr/sbin/sshd
chattr -aui /usr/bin/ssh
rm -f /usr.bin/ssh

그 다음에,

yum erase openssh-server
yum erase openssh-clients
yum install openssh-server
yum install openssh-clients

이제 rkhunter를 다시 실행했는데 모든 것이 정상입니다.

감사해요

답변1

htop소스 프로세스를 찾는 데 도움이 필요하면 그림 대신 질문 및/또는 질문의 텍스트 출력을 게시하십시오 . 사진보다 텍스트 출력이 더 좋습니다. pstree -pps axfuw

이러한 프로세스는 사용자로 실행되며 스크립트를 통해 스크립트를 root다운로드하고 실행하는 것으로 보입니다 perl. 로 실행되는 스크립트도 있습니다. pythonx.pybashgoroot

다음은 귀하의 질문에 대한 구체적인 답변은 아니지만 그러한 권한을 사용한 해킹에 대한 유용한 정보를 제공하기를 바랍니다.

이러한 모든 스크립트를 찾아서 제거하는 것이 도움이 되는지 확인하고 잘못된 프로세스도 확실히 종료할 수 있지만 시스템이 "루팅"되어 있으므로 전체 서버를 조사하는 데 많은 시간을 소비할 수 있으며 결코 완료하지 못할 수도 있습니다. 제외 항목을 모두 삭제합니다. 가능한 모든 해킹/백도어. 루트 수준 해커의 가장 큰 문제는 원하는 것은 무엇이든 변경할 수 있고, 구성을 변경하고, 소프트웨어 바이너리를 교체하거나, 로그 파일을 편집/지울 수 있다는 것입니다. 패키지 관리자가 패키지에서 설치된 파일을 망쳤는지 확인할 수 있어야 합니다.

해커가 처음에 어떻게 시작했는지 확인하는 것이 더 중요합니다. 그렇지 않으면 다음 서버도 같은 방식으로 손상될 수 있습니다. 이는 시스템을 얼마나 잘 알고 있는지에 따라 "명백한" 것부터 "결정하기가 매우 어려운 것"까지 다양합니다. 사용자로 실행되는 프로세스를 볼 수 있으므로 root몇 가지 가능성은 다음과 같습니다. root사용자가 손상되었거나(비밀번호를 알고 있음), sudo사용자가 손상되었거나, 노출된 서비스가 원격 실행을 허용하거나, 권한 상승 취약점이 있을 수 있습니다(계속 유지하는 경우). 시스템을 최신 상태로 유지하면 이런 일이 발생할 가능성이 낮습니다).

시도해 볼 수 있는 한 가지 방법은 모든 악성 스크립트( )를 찾아 find / -name x.py해당 파일이 가장 먼저 생성된 시간을 확인하는 것입니다. 그런 다음 생성 시간이 인식할 수 없는 위치에서 시스템에 로그인한 시간과 일치하는지 확인하십시오. 이는 비밀번호를 알고 시스템에 로그인할 수 있었음을 나타냅니다. 그렇지 않은 경우 이 액세스 권한을 사용하여 시스템에서 어떤 서비스가 실행되고 있는지, 그리고 해당 서비스가 root.

조사를 마친 후에는 중요한 데이터를 모두 저장한 다음 새 운영 체제로 서버를 다시 설치하고 이전 시스템에서 사용했던 비밀번호를 재사용하지 않는 것이 좋습니다. 이전 데이터를 다시 로드하는 것보다 새 시스템에서 백업을 사용하는 것이 더 좋습니다(해당 백업은 다른 곳에 있고 해킹되지 않았으면 좋겠습니다).

관련 정보