Как удалить майнеров с хакнутого сервера?

Question

Юлиан

ubuntu , вирусы , информационная-безопасность

Как удалить майнеров с хакнутого сервера?

У меня есть три VPS сервера, на которых установлено CyberPanel. Возможно, они были взломаны через него, так как я не успел обновить систему после соответствующей новости. Теперь я замечаю, что по параметрам в htop загрузка CPU достигает 100%, и среди процессов присутствует <b>kinsing</b>. Я нашёл несколько статей об этом, включая одну на Хабре: <a href="https://habr.com/ru/articles/582830/" rel="nofollow">https://habr.com/ru/articles/582830/</a>. 

Я смог устранить проблему только на одном сервере, тогда как на двух других, несмотря на замену файлов и обновление SSH паролей, ситуация повторяется ежедневно. Я не могу обнаружить никаких CRON процессов на уровне сервера, возможно, они скрыты от меня. 

Дополнительно, у меня возникли проблемы с доступом по SSH: сервер периодически блокирует соединение. Только после перезагрузки через хостера удаётся войти на 10-12 минут, после чего доступ снова теряется.

4 ноября 2024 г. 5:42

Ответы на вопрос 2

Похожие вопросы

Answer 1

Удаление майнеров и восстановление безопасности хакнутого сервера — процесс комплексный и может потребовать времени и усилий. Вот шаги, которые могут помочь вам устранить проблему:

1. **Изоляция сервера:**
- Первым делом изолируйте свои VPS-сервера от сети (например, временно отключите их от Интернета), чтобы предотвратить дальнейшее распространение потенциального вредоносного кода и утечку данных.

2. **Создание резервной копии:**
- Перед любыми действиями сделайте резервную копию всех данных, чтобы иметь возможность восстановить их в случае необходимости.

3. **Проверка процессов:**
- Используйте `htop` или `top` для поиска необычных рабочих процессов. Обратите внимание на процессы с высоким использованием ресурсов и подозрительными именами, такими как `kinsing`.
- Вы можете использовать команду: `ps aux | grep kinsing` для нахождения процессов, связанных с майнером.

4. **Остановка и удаление процессов:**
- Остановите все подозрительные процессы с помощью команды `kill [PID]`, заменив `[PID]` на идентификатор процесса.
- Удалите вредоносные файлы. Обычно они могут находиться в директориях `/tmp`, `/var/tmp`, `/usr/local/bin`.

5. **Поиск и удаление руткитов:**
- Используйте инструменты, такие как `rkhunter` или `chkrootkit`, для проверки на наличие руткитов и другой вредоносной активности.

6. **Проверка на скрытые задачи cron:**
- Проверьте cron задачи с помощью команды `crontab -l` для пользователя и `cat /etc/crontab` для системных задач. Также проверьте директории `/etc/cron.d`, `/etc/cron.daily`, `/etc/cron.hourly` и `/etc/cron.weekly`.

7. **Обновление системы и пакетов:**
- Убедитесь, что ваша система и все установленные пакеты обновлены. Используйте команды `apt-get update && apt-get upgrade` для Debian/Ubuntu или `yum update` для CentOS/RHEL.

8. **Проверка SSH конфигурации:**
- Измените порты для SSH, отключите root-доступ, используйте SSH-ключи вместо паролей, чтобы улучшить безопасность подключения.

9. **Установка системы мониторинга:**
- Установите систему мониторинга, которая будет следить за процессами и уведомлять вас о подозрительной активности.

10. **Полная переустановка:**
- В случаях, когда проблемы продолжают возникать, имеет смысл рассмотреть полную переустановку операционной системы и программного обеспечения.

11. **Контакты технической поддержки:**
- Если вы продолжаете испытывать проблемы, рекомендуется обратиться за помощью к специалистам по безопасности или технической поддержке вашего хостинг-провайдера.

12. **Как профилактика:**
- Убедитесь, что все скрипты и плагины на вашем CyberPanel обновлены до последних версий и регулярно проверяйте уязвимости в них.

Если вы не уверены в своих действиях, лучше обратиться к специалисту по информационной безопасности.

Answer 2

Восстановить сервисы из бэкапов на новых, чистых виртуалках. Никаких панелей, разумеется, не ставить.