내 VPS가 손상되었나요?

tag-icon tag-icon ubuntu security vps
내 VPS가 손상되었나요?

오늘 실수로 VPS에 SSH로 접속하여 htop을 확인했습니다. CPU 사용량이 왜 100%인지 즉시 궁금해졌고, 의심스러운 "매스스캔" 프로그램을 실행하는 알 수 없는 스크린 세션을 발견했습니다.

나는 스크린 세션에 들어가서 완전히 알려지지 않은 프로그램이 실행되는 것을 보고 완전히 충격을 받았습니다. 마치 인터넷, 임의의 IP 주소 및 포트를 스캔하는 것처럼 보였습니다. 안타깝게도 애플리케이션을 Ctrl+C로 실행하기 전에 콘솔 콘텐츠의 스크린샷을 찍는 것을 잊어버렸습니다.

그래서 /var/lib/rmrf/.files 경로에서 아주 이상한 일이 일어나고 있는 것으로 나타났습니다. 이 폴더의 내용은 아래에 설명되어 있습니다. 불길한 낯선 사람이 그 흔적을 지우려고 할 경우를 대비하여 이 폴더를 다운로드했습니다. 또한 실제 사람이 입력했음을 보여주는 마지막 명령도 확인했습니다(아래 설명 참조).

내 VPS에 무슨 일이 일어나고 있는지 제안할 수 있는 사람이 있습니까? ! 나는 해킹을 당했거나 봇 네트워크 또는 그와 유사한 것의 일부라고 생각했습니다. 어떻게 진행하나요? 다음에 어떤 권장 조치를 취해야 합니까? (VPS를 일시적으로 중단했습니다)

내가 아는 해당 화면 세션에 마지막으로 입력된 셸 명령은 아직 입력하지 않았습니다(오타를 보면 이러한 명령은 스크립트나 이와 유사한 것이 아니라 사람이 입력한 것으로 보입니다).

./notti ;./notti ;./notti ;./notti ;./notti ;./notti ;./notti ;./notti ;./notti ;./notti ;./notti
./rupe
chmod +x rupe
./rupe
chmod +x masscan
chmod +x .*
chmod +x *
./notti ;./notti ;./notti ;./notti ;./notti ;./notti ;./notti ;./notti ;./notti ;./notti ;./notti
./rupe
chmod +x *
chmod +x .*
./notti ;./notti ;./notti ;./notti ;./notti ;./notti ;./notti ;./notti ;./notti ;./notti ;./notti
ls -a
chmod +x main
./notti ;./notti ;./notti ;./notti ;./notti ;./notti ;./notti ;./notti ;./notti ;./notti ;./notti

폴더 내용:

main
masscan
.sbanner
notti
rupe
.filter
... 161 text documents (with hundreds of thousands of ip addresses each)
bios.txt (hundreds of thousands lines, each "open tcp 6122 x.x.x.x 1665657431" - the last number seems to be counted up of something, it increases by one every couple of lines)
fura 
pass (looks like a list of possible passwords for (random?) usersnames [www-data, uftp, Huawei, steam, root, www, postgres .....], 621 lines, each username fills several lines, each with several possible passwords; one of my accounts (obsolete minecraft server) is included, while others are not)
paused.conf (seems to contain informations for the program to load during the next startup in order to continue)
ports (contains 146 lines of seemingly different ports)
prinse.v5 (379 lines of this format: [ 2 ] - [ ACCOUNTNAME@IP-ADDRESS:PORT Pass: PASSWORD ] - [ A - x86_64 | G - NO ]) The very first number differs from line to line
ultimate.lst (475k lines in the format: 116.206.100.0/22 #subnets?, I am no expert)
users.v5 (seemingly a list of possible account names; seems to be structured by different OS and each with possible account names, 5291 lines)
.resturi.v5 (5775 lines, Format: test test XXX.XXX.XXX.XXX 20022 aarch64 4)
.txt (865k lines with IP addresses)

배너 로그:

176.41.224.105 - /multistream/1.0.0
171.6.145.194 - RFB 003.003
111.201.215.224 - SSH-2.0-OpenSSH_8.0
199.15.77.4 - RFB 003.008
188.131.180.65 - HTTP/1.1 302 Redirect
Server: Gnway RProxy Server
Location: http://xiaohe8.ikuai5.com:5353/natforward-yun-404.html?port=6122
Date Thu, 13 Oct 2022 18:37:28 GMT

123.13.215.124 - SSH-2.0-OpenSSH_7.4
8.129.103.205 - SSH-2.0-OpenSSH_7.4
103.131.17.166 - 
111.173.83.64 - D
1.15.74.126 - SSH-2.0-OpenSSH_7.4
202.120.188.70 - SSH-2.0-OpenSSH_7.4
123.57.71.35 - SSH-2.0-OpenSSH_8.0
103.131.17.206 - 
82.156.252.38 - SSH-2.0-OpenSSH_7.4
120.92.50.5 - 
202.148.3.166 - 220 (vsFTPd 2.0.5)
94.103.35.8 - RFB 003.008

관련 정보