Вопрос или проблема
Я обнаружил эти два процесса в диспетчере процессов: первый работает от имени пользователя, а второй от имени root. Значит ли это, что мой сервер скомпрометирован?
=== первая задача выполняется пользователем cpaneluser, хотя у него нет доступа по ssh
find /home/cpaneluser/public_html/wp-content ( ( ( ( -type f ) ( -user cpaneluser ) ( ! ( ( -perm 000 ) -o ( -perm 004 ) -o ( -perm 040 ) -o ( -perm 044 ) -o ( -perm 200 ) -o ( -perm 204 ) -o ( -perm 240 ) -o ( -perm 244 ) -o ( -perm 400 ) -o ( -perm 404 ) -o ( -perm 440 ) -o ( -perm 444 ) -o ( -perm 600 ) -o ( -perm 604 ) -o ( -perm 640 ) -o ( -perm 644 ) ) ) ) ) ) -o ( ( ( -type d ) ( -user cpaneluser ) ( ! ( ( -perm 000 ) -o ( -perm 001 ) -o ( -perm 004 ) -o ( -perm 005 ) -o ( -perm 010 ) -o ( -perm 011 ) -o ( -perm 014 ) -o ( -perm 015 ) -o ( -perm 040 ) -o ( -perm 041 ) -o ( -perm 044 ) -o ( -perm 045 ) -o ( -perm 050 ) -o ( -perm 051 ) -o ( -perm 054 ) -o ( -perm 055 ) -o ( -perm 100 ) -o ( -perm 101 ) -o ( -perm 104 ) -o ( -perm 105 ) -o ( -perm 110 ) -o ( -perm 111 ) -o ( -perm 114 ) -o ( -perm 115 ) -o ( -perm 140 ) -o ( -perm 141 ) -o ( -perm 144 ) -o ( -perm 145 ) -o ( -perm 150 ) -o ( -perm 151 ) -o ( -perm 154 ) -o ( -perm 155 ) -o ( -perm 200 ) -o ( -perm 201 ) -o ( -perm 204 ) -o ( -perm 205 ) -o ( -perm 210 ) -o ( -perm 211 ) -o ( -perm 214 ) -o ( -perm 215 ) -o ( -perm 240 ) -o ( -perm 241 ) -o ( -perm 244 ) -o ( -perm 245 ) -o ( -perm 250 ) -o ( -perm 251 ) -o ( -perm 254 ) -o ( -perm 255 ) -o ( -perm 300 ) -o ( -perm 301 ) -o ( -perm 304 ) -o ( -perm 305 ) -o ( -perm 310 ) -o ( -perm 311 ) -o ( -perm 314 ) -o ( -perm 315 ) -o ( -perm 340 ) -o ( -perm 341 ) -o ( -perm 344 ) -o ( -perm 345 ) -o ( -perm 350 ) -o ( -perm 351 ) -o ( -perm 354 ) -o ( -perm 355 ) -o ( -perm 400 ) -o ( -perm 401 ) -o ( -perm 404 ) -o ( -perm 405 ) -o ( -perm 410 ) -o ( -perm 411 ) -o ( -perm 414 ) -o ( -perm 415 ) -o ( -perm 440 ) -o ( -perm 441 ) -o ( -perm 444 ) -o ( -perm 445 ) -o ( -perm 450 ) -o ( -perm 451 ) -o ( -perm 454 ) -o ( -perm 455 ) -o ( -perm 500 ) -o ( -perm 501 ) -o ( -perm 504 ) -o ( -perm 505 ) -o ( -perm 510 ) -o ( -perm 511 ) -o ( -perm 514 ) -o ( -perm 515 ) -o ( -perm 540 ) -o ( -perm 541 ) -o ( -perm 544 ) -o ( -perm 545 ) -o ( -perm 550 ) -o ( -perm 551 ) -o ( -perm 554 ) -o ( -perm 555 ) -o ( -perm 600 ) -o ( -perm 601 ) -o ( -perm 604 ) -o ( -perm 605 ) -o ( -perm 610 ) -o ( -perm 611 ) -o ( -perm 614 ) -o ( -perm 615 ) -o ( -perm 640 ) -o ( -perm 641 ) -o ( -perm 644 ) -o ( -perm 645 ) -o ( -perm 650 ) -o ( -perm 651 ) -o ( -perm 654 ) -o ( -perm 655 ) -o ( -perm 700 ) -o ( -perm 701 ) -o ( -perm 704 ) -o ( -perm 705 ) -o ( -perm 710 ) -o ( -perm 711 ) -o ( -perm 714 ) -o ( -perm 715 ) -o ( -perm 740 ) -o ( -perm 741 ) -o ( -perm 744 ) -o ( -perm 745 ) -o ( -perm 750 ) -o ( -perm 751 ) -o ( -perm 754 ) -o ( -perm 755 ) ) ) ) ) ) -print -quit
=== вторая задача выполняется от имени root
sudo -E -u cpaneluser cagefs_enter.proxied /bin/sh -c cd /home/cpaneluser/public_html && find /home/cpaneluser/public_html/wp-content ‘(‘ ‘(‘ ‘(‘ ‘(‘ -type f ‘)’ ‘(‘ -user cpaneluser ‘)’ ‘(‘ ‘!’ ‘(‘ ‘(‘ -perm 000 ‘)’ -o ‘(‘ -perm 004 ‘)’ -o ‘(‘ -perm 040 ‘)’ -o ‘(‘ -perm 044 ‘)’ -o ‘(‘ -perm 200 ‘)’ -o ‘(‘ -perm 204 ‘)’ -o ‘(‘ -perm 240 ‘)’ -o ‘(‘ -perm 244 ‘)’ -o ‘(‘ -perm 400 ‘)’ -o ‘(‘ -perm 404 ‘)’ -o ‘(‘ -perm 440 ‘)’ -o ‘(‘ -perm 444 ‘)’ -o ‘(‘ -perm 600 ‘)’ -o ‘(‘ -perm 604 ‘)’ -o ‘(‘ -perm 640 ‘)’ -o ‘(‘ -perm 644 ‘)’ ‘)’ ‘)’ ‘)’ ‘)’ -o ‘(‘ ‘(‘ ‘(‘ -type d ‘)’ ‘(‘ -user cpaneluser ‘)’ ‘(‘ ‘!’ ‘(‘ ‘(‘ -perm 000 ‘)’ -o ‘(‘ -perm 001 ‘)’ -o ‘(‘ -perm 004 ‘)’ -o ‘(‘ -perm 005 ‘)’ -o ‘(‘ -perm 010 ‘)’ -o ‘(‘ -perm 011 ‘)’ -o ‘(‘ -perm 014 ‘)’ -o ‘(‘ -perm 015 ‘)’ -o ‘(‘ -perm 040 ‘)’ -o ‘(‘ -perm 041 ‘)’ -o ‘(‘ -perm 044 ‘)’ -o ‘(‘ -perm 045 ‘)’ -o ‘(‘ -perm 050 ‘)’ -o ‘(‘ -perm 051 ‘)’ -o ‘(‘ -perm 054 ‘)’ -o ‘(‘ -perm 055 ‘)’ -o ‘(‘ -perm 100 ‘)’ -o ‘(‘ -perm 101 ‘)’ -o ‘(‘ -perm 104 ‘)’ -o ‘(‘ -perm 105 ‘)’ -o ‘(‘ -perm 110 ‘)’ -o ‘(‘ -perm 111 ‘)’ -o ‘(‘ -perm 114 ‘)’ -o ‘(‘ -perm 115 ‘)’ -o ‘(‘ -perm 140 ‘)’ -o ‘(‘ -perm 141 ‘)’ -o ‘(‘ -perm 144 ‘)’ -o ‘(‘ -perm 145 ‘)’ -o ‘(‘ -perm 150 ‘)’ -o ‘(‘ -perm 151 ‘)’ -o ‘(‘ -perm 154 ‘)’ -o ‘(‘ -perm 155 ‘)’ -o ‘(‘ -perm 200 ‘)’ -o ‘(‘ -perm 201 ‘)’ -o ‘(‘ -perm 204 ‘)’ -o ‘(‘ -perm 205 ‘)’ -o ‘(‘ -perm 210 ‘)’ -o ‘(‘ -perm 211 ‘)’ -o ‘(‘ -perm 214 ‘)’ -o ‘(‘ -perm 215 ‘)’ -o ‘(‘ -perm 240 ‘)’ -o ‘(‘ -perm 241 ‘)’ -o ‘(‘ -perm 244 ‘)’ -o ‘(‘ -perm 245 ‘)’ -o ‘(‘ -perm 250 ‘)’ -o ‘(‘ -perm 251 ‘)’ -o ‘(‘ -perm 254 ‘)’ -o ‘(‘ -perm 255 ‘)’ -o ‘(‘ -perm 300 ‘)’ -o ‘(‘ -perm 301 ‘)’ -o ‘(‘ -perm 304 ‘)’ -o ‘(‘ -perm 305 ‘)’ -o ‘(‘ -perm 310 ‘)’ -o ‘(‘ -perm 311 ‘)’ -o ‘(‘ -perm 314 ‘)’ -o ‘(‘ -perm 315 ‘)’ -o ‘(‘ -perm 340 ‘)’ -o ‘(‘ -perm 341 ‘)’ -o ‘(‘ -perm 344 ‘)’ -o ‘(‘ -perm 345 ‘)’ -o ‘(‘ -perm 350 ‘)’ -o ‘(‘ -perm 351 ‘)’ -o ‘(‘ -perm 354 ‘)’ -o ‘(‘ -perm 355 ‘)’ -o ‘(‘ -perm 400 ‘)’ -o ‘(‘ -perm 401 ‘)’ -o ‘(‘ -perm 404 ‘)’ -o ‘(‘ -perm 405 ‘)’ -o ‘(‘ -perm 410 ‘)’ -o ‘(‘ -perm 411 ‘)’ -o ‘(‘ -perm 414 ‘)’ -o ‘(‘ -perm 415 ‘)’ -o ‘(‘ -perm 440 ‘)’ -o ‘(‘ -perm 441 ‘)’ -o ‘(‘ -perm 444 ‘)’ -o ‘(‘ -perm 445 ‘)’ -o ‘(‘ -perm 450 ‘)’ -o ‘(‘ -perm 451 ‘)’ -o ‘(‘ -perm 454 ‘)’ -o ‘(‘ -perm 455 ‘)’ -o ‘(‘ -perm 500 ‘)’ -o ‘(‘ -perm 501 ‘)’ -o ‘(‘ -perm 504 ‘)’ -o ‘(‘ -perm 505 ‘)’ -o ‘(‘ -perm 510 ‘)’ -o ‘(‘ -perm 511 ‘)’ -o ‘(‘ -perm 514 ‘)’ -o ‘(‘ -perm 515 ‘)’ -o ‘(‘ -perm 540 ‘)’ -o ‘(‘ -perm 541 ‘)’ -o ‘(‘ -perm 544 ‘)’ -o ‘(‘ -perm 545 ‘)’ -o ‘(‘ -perm 550 ‘)’ -o ‘(‘ -perm 551 ‘)’ -o ‘(‘ -perm 554 ‘)’ -o ‘(‘ -perm 555 ‘)’ -o ‘(‘ -perm 600 ‘)’ -o ‘(‘ -perm 601 ‘)’ -o ‘(‘ -perm 604 ‘)’ -o ‘(‘ -perm 605 ‘)’ -o ‘(‘ -perm 610 ‘)’ -o ‘(‘ -perm 611 ‘)’ -o ‘(‘ -perm 614 ‘)’ -o ‘(‘ -perm 615 ‘)’ -o ‘(‘ -perm 640 ‘)’ -o ‘(‘ -perm 641 ‘)’ -o ‘(‘ -perm 644 ‘)’ -o ‘(‘ -perm 645 ‘)’ -o ‘(‘ -perm 650 ‘)’ -o ‘(‘ -perm 651 ‘)’ -o ‘(‘ -perm 654 ‘)’ -o ‘(‘ -perm 655 ‘)’ -o ‘(‘ -perm 700 ‘)’ -o ‘(‘ -perm 701 ‘)’ -o ‘(‘ -perm 704 ‘)’ -o ‘(‘ -perm 705 ‘)’ -o ‘(‘ -perm 710 ‘)’ -o ‘(‘ -perm 711 ‘)’ -o ‘(‘ -perm 714 ‘)’ -o ‘(‘ -perm 715 ‘)’ -o ‘(‘ -perm 740 ‘)’ -o ‘(‘ -perm 741 ‘)’ -o ‘(‘ -perm 744 ‘)’ -o ‘(‘ -perm 745 ‘)’ -o ‘(‘ -perm 750 ‘)’ -o ‘(‘ -perm 751 ‘)’ -o ‘(‘ -perm 754 ‘)’ -o ‘(‘ -perm 755 ‘)’ ‘)’ ‘)’ ‘)’ ‘)’ ‘)’ -print -quit
Ответ или решение
Ваш вопрос о странных процессах в диспетчере задач поднимает важные аспекты безопасности сервера. Давайте разберем оба процесса и проанализируем ситуацию.
Процесс 1: Выполняемый пользователем cpaneluser
find /home/cpaneluser/public_html/wp-content ( ( ( ( -type f ) ( -user cpaneluser ) ( ! ( ( -perm 000 ) -o ( -perm 004 ) ... ) ) ) ) -print -quitДанный процесс – это команда find, которая ищет файлы и папки в директории /home/cpaneluser/public_html/wp-content. Он возвращает только те файлы и директории, которые принадлежат пользователю cpaneluser и не имеют указанных разрешений.
Возможные причины выполнения:
- Забытая задача: Иногда подобные команды могут выполняться автоматически в рамках планировщика заданий (cron) или другого скрипта.
- Проверка безопасности: Возможно, это легитимное действие администратора, например, для проверки ненужных разрешений на файлы.
- Вредоносная активность: Особенно если данный процесс появляется без вашего ведома или ожидаемого контекста.
Процесс 2: Выполняемый от имени root
sudo -E -u cpaneluser cagefs_enter.proxied /bin/sh -c cd /home/cpaneluser/public_html && find /home/cpaneluser/public_html/wp-content ...Второй процесс запущен от имени пользователя root и использует sudo, чтобы выполнить команду от имени cpaneluser. Также используется cagefs, что может означать, что это сессия доступа, управляемая системным сервисом для обеспечения безопасности.
Возможные причины выполнения:
- Легитимные процессы: Это может быть частью нормального функционала хостинг-платформы, особенно если вы используете cPanel/WHM и CageFS. Они часто используют такие команды для ограничения доступа к файлам и защиты от потенциальных угроз.
- Подозрительная активность: В случае, если у вас не было инициировано ничего подобного, это также может указывать на возможное компрометирование вашего сервера.
Выводы
-
Необходимость проверки: Вам следует проверить, откуда исходят эти процессы. Ознакомьтесь с системными логами (например,
/var/log/auth.logили/var/log/secureдля проверки авторизаций и попыток доступа) и следите за активностью пользователяcpaneluser. -
Обновление безопасности: Убедитесь, что все программное обеспечение на вашем сервере обновлено, а также примените все рекомендации по безопасности, включая использование брандмауэра и антивирусных решений.
-
Аудит и анализ: Рассмотрите возможность аудита текущих учетных записей и их прав доступа. Убедитесь, что у пользователей не существует лишних или неподходящих прав.
-
Защита данных: Регулярные резервные копии также важны. Убедитесь, что ваши данные защищены, даже если серверу будет причинен вред.
-
Консультация с экспертом: Если у вас есть сомнения, стоит проконсультироваться с системным администратором или специалистом по безопасности для более подробного анализа и обнаружения потенциальных угроз.
Заключение
Нормальное поведение системы часто требует внимательного мониторинга, и странные процессы могут быть как легитимными, так и вредоносными. Бережное отношение к безопасности вашего сервера поможет предотвратить многие потенциальные угрозы.