[Linux-sunucu] Re: sunucum hackleniyor mu?

Tue, 05 Sep 2017 04:59:16 -0700 

ps -aux çıktısı aynen şoyle
USER       PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
root         1  0.0  0.3 129288  3684 ?        Ss   11:17   0:00 init -z
root 2 0.0 0.0 0 0 ? S 11:17 0:00 [kthreadd/204] root 3 0.0 0.0 0 0 ? S 11:17 0:00 [khelper/204] root 65 0.0 0.7 50644 7888 ? Ss 11:17 0:00 /usr/lib/system root 68 0.0 0.1 42004 1704 ? Ss 11:17 0:00 /usr/lib/system root 110 0.0 0.1 15944 1664 ? Ss 11:17 0:00 /usr/sbin/dovec root 111 0.0 0.1 42072 1860 ? Ss 11:17 0:00 /usr/sbin/pure- mysql 112 0.0 0.1 9592 1504 ? Ss 11:17 0:00 /bin/sh /usr/bi root 116 0.0 0.4 241756 4504 ? Ssl 11:17 0:00 /usr/sbin/rsysl root 119 0.0 0.0 71248 988 ? Ss 11:17 0:00 /usr/sbin/sasla root 128 0.0 0.0 71248 732 ? S 11:17 0:00 /usr/sbin/sasla mailnull 131 0.0 0.1 95408 1900 ? Ss 11:17 0:00 /usr/sbin/exim root 132 0.0 0.2 24236 2068 ? Ss 11:17 0:00 /usr/sbin/smart root 134 0.0 0.1 24144 1624 ? Ss 11:17 0:00 /usr/lib/system dbus 135 0.0 0.1 24356 1720 ? Ss 11:17 0:00 /bin/dbus-daemo root 137 0.0 0.0 24932 684 ? Ss 11:17 0:00 /usr/sbin/xinet dovenull 139 0.0 0.3 43436 3516 ? S 11:17 0:00 dovecot/pop3-lo dovenull 140 0.0 0.3 43444 3540 ? S 11:17 0:00 dovecot/imap-lo dovecot 141 0.0 0.1 9616 1212 ? S 11:17 0:00 dovecot/anvil 
root       144  0.0  0.1   9748  1396 ?        S    11:17   0:00 dovecot/log
dovenull 148 0.0 0.3 43312 3456 ? S 11:17 0:00 dovecot/pop3-lo dovenull 149 0.0 0.3 43320 3460 ? S 11:17 0:00 dovecot/imap-lo root 154 0.0 0.2 12940 2564 ? S 11:17 0:00 dovecot/config root 163 0.0 0.3 148196 3184 ? Ss 11:17 0:00 pure-ftpd (SERV root 164 0.0 0.3 105432 4008 ? Ss 11:17 0:00 /usr/sbin/sshd root 169 0.0 0.1 22628 1536 ? Ss 11:17 0:00 /usr/sbin/crond root 170 0.0 0.0 6400 812 tty2 Ss+ 11:17 0:00 /sbin/agetty -- root 171 0.0 0.1 25796 1060 ? Ss 11:17 0:00 /usr/sbin/atd - root 172 0.0 0.0 6400 816 tty1 Ss+ 11:17 0:00 /sbin/agetty -- dovecot 183 0.0 0.2 34452 2492 ? S 11:17 0:00 dovecot/auth root 305 0.0 0.8 38588 8476 ? S 11:17 0:00 queueprocd - wa root 369 0.0 0.6 199024 6776 ? Ss 11:17 0:00 /usr/sbin/httpd root 373 0.0 1.1 47820 11856 ? S 11:17 0:00 /usr/local/cpan nobody 375 0.0 0.5 199564 5600 ? S 11:17 0:00 /usr/sbin/httpd nobody 376 0.0 0.5 199564 5612 ? S 11:17 0:00 /usr/sbin/httpd nobody 377 0.0 0.5 199564 5620 ? S 11:17 0:00 /usr/sbin/httpd nobody 378 0.0 0.5 199564 5612 ? S 11:17 0:00 /usr/sbin/httpd nobody 379 0.0 0.5 199564 5620 ? S 11:17 0:00 /usr/sbin/httpd mysql 386 0.0 3.6 935096 36908 ? Sl 11:17 0:00 /usr/sbin/mysql root 604 0.0 0.5 150504 5812 ? Ss 11:18 0:00 sshd: root@pts/ root 622 0.8 0.2 26088 2120 ? Ss 11:18 0:17 spamd-dormant: root 625 0.0 0.2 26440 2524 ? S 11:18 0:00 cpsrvd (SSL) - named 649 0.0 1.8 173120 18908 ? Ssl 11:18 0:00 /usr/sbin/named root 677 0.0 0.2 26256 2400 ? Ss 11:18 0:00 dnsadmin - dorm 
root       678  0.0  0.1 115336  2040 pts/0    Ss+  11:18   0:00 -bash
root 688 0.0 0.1 26456 1784 ? S 11:18 0:00 cpdavd - accept 
root       708  0.0  1.5  60420 16196 ?        S    11:18   0:00 tailwatchd
root 714 0.0 0.2 26500 2388 ? SN 11:18 0:00 cpanellogd - sl root 1772 0.0 0.5 150504 5816 ? Ss 11:44 0:00 sshd: root@pts/ 
root      1781  0.0  0.1 115336  2028 pts/1    Ss+  11:45   0:00 -bash
root 1869 0.0 0.1 9612 1120 ? S 11:48 0:00 dovecot/ssl-par root 1948 0.2 0.5 150504 5816 ? Ss 11:53 0:00 sshd: root@pts/ 
root      1950  0.0  0.1 115336  2028 pts/2    Ss   11:53   0:00 -bash
root      1971  0.0  0.1 151008  1840 pts/2    R+   11:53   0:00 ps -aux
[root@torium1 ~]#




05-09-2017 14:49 tarihinde Yunus Oksuz yazdı:
Benzer birşey benimde başıma gelmişti. Eğer sunucunuza sizin haricinizde bir girişin olduğunu düşünüyorsanız, 

- kendine bir user açmış olabilir o user’i bulup siliin
- ssh’a password ile girişi kapatın sadece key ile girişi aktif edin
- ssh portunu değiştirin.
- ps -aux ile şüpheli olan bir işlem var mı diye kontrol edin ve varsa o işlemi kill edin. 
- init scriptlerine bu işlem eklenmiş mi diye kontrol ediniz.
Ben bunları yapmayarak sadece root şifresini değistirdim, saldırgan kendine bir user açmış ve çok büyük hasar vermişti. 

Kolay gelsin
On 5 Eyl 2017, at 14:42, Mehmet T <tmeh...@gmx.com <mailto:tmeh...@gmx.com>> wrote:
hayır netstat sorgusunda 2 tane ssh den baglı ip gozukuyor birisi benim turkiyedeki ev ip adresim
digeri rusyadan çıktı baglanan herifte belkide vpn kullanarak baglanıyordur. 




05-09-2017 14:38 tarihinde Mesut Güngör yazdı:
Gönderdiğini ip adresi üzerinde vpn hizmeti veren bir kurum var siz vpn ile bağlanıyor olabilir misiniz ? 
kendi ipiniz gördünüz mü whatismy ip vs araçla.
2017-09-05 14:31 GMT+03:00 Mehmet T <tmeh...@gmx.com <mailto:tmeh...@gmx.com>>: 

    sıfır centos7 sunucuma cpanel kurdum (başka hiçbişey kurmadım)
    netstat -tap komutula sorguladıgımda  benim ev ip adresim ile
    birlikte
    yine ssh portundan baglanan birisi var.
    77.73.66.172:32998 <http://77.73.66.172:32998/>     ESTABLISHED 961/

    ipsorgu sitesinden baktım rusyada gozukuyor.
    _______________________________________________
    Linux-sunucu E-Posta Listesi
    Linux-sunucu@liste.linux.org.tr
    <mailto:Linux-sunucu@liste.linux.org.tr>

    Liste kurallarını http://liste.linux.org.tr/kurallar.php
    <http://liste.linux.org.tr/kurallar.php>  bağlantısından
    okuyabilirsiniz;

    Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu
    listeden gelen e-postaları almak istemiyorsanız aşağıdaki
    bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi
    sonlandırabilirsiniz.
    https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
    <https://liste.linux.org.tr/mailman/listinfo/linux-sunucu>




_______________________________________________
Linux-sunucu E-Posta Listesi
Linux-sunucu@liste.linux.org.tr

Liste kurallarınıhttp://liste.linux.org.tr/kurallar.php   bağlantısından 
okuyabilirsiniz;

Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen 
e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 
dakika içinde üyeliğinizi sonlandırabilirsiniz.
https://liste.linux.org.tr/mailman/listinfo/linux-sunucu


_______________________________________________
Linux-sunucu E-Posta Listesi
Linux-sunucu@liste.linux.org.tr <mailto:Linux-sunucu@liste.linux.org.tr>
Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz;
Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. 
https://liste.linux.org.tr/mailman/listinfo/linux-sunucu




_______________________________________________
Linux-sunucu E-Posta Listesi
Linux-sunucu@liste.linux.org.tr

Liste kurallarını http://liste.linux.org.tr/kurallar.php  bağlantısından 
okuyabilirsiniz;

Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen 
e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 
dakika içinde üyeliğinizi sonlandırabilirsiniz.
https://liste.linux.org.tr/mailman/listinfo/linux-sunucu



_______________________________________________
Linux-sunucu E-Posta Listesi
Linux-sunucu@liste.linux.org.tr

Liste kurallarını http://liste.linux.org.tr/kurallar.php  bağlantısından 
okuyabilirsiniz;

Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen 
e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 
dakika içinde üyeliğinizi sonlandırabilirsiniz.
https://liste.linux.org.tr/mailman/listinfo/linux-sunucu

Cevap