Вопрос или проблема
Я нашел эти 2 процесса в диспетчере задач: первый выполняется пользователем, а второй – от имени root. Это значит, что мой сервер скомпрометирован?
=== первая задача выполняется от имени cpaneluser, хотя у него нет доступа по SSH
find /home/cpaneluser/public_html/wp-content ( ( ( ( -type f ) ( -user cpaneluser ) ( ! ( ( -perm 000 ) -o ( -perm 004 ) -o ( -perm 040 ) -o ( -perm 044 ) -o ( -perm 200 ) -o ( -perm 204 ) -o ( -perm 240 ) -o ( -perm 244 ) -o ( -perm 400 ) -o ( -perm 404 ) -o ( -perm 440 ) -o ( -perm 444 ) -o ( -perm 600 ) -o ( -perm 604 ) -o ( -perm 640 ) -o ( -perm 644 ) ) ) ) ) ) -o ( ( ( -type d ) ( -user cpaneluser ) ( ! ( ( -perm 000 ) -o ( -perm 001 ) -o ( -perm 004 ) -o ( -perm 005 ) -o ( -perm 010 ) -o ( -perm 011 ) -o ( -perm 014 ) -o ( -perm 015 ) -o ( -perm 040 ) -o ( -perm 041 ) -o ( -perm 044 ) -o ( -perm 045 ) -o ( -perm 050 ) -o ( -perm 051 ) -o ( -perm 054 ) -o ( -perm 055 ) -o ( -perm 100 ) -o ( -perm 101 ) -o ( -perm 104 ) -o ( -perm 105 ) -o ( -perm 110 ) -o ( -perm 111 ) -o ( -perm 114 ) -o ( -perm 115 ) -o ( -perm 140 ) -o ( -perm 141 ) -o ( -perm 144 ) -o ( -perm 145 ) -o ( -perm 150 ) -o ( -perm 151 ) -o ( -perm 154 ) -o ( -perm 155 ) -o ( -perm 200 ) -o ( -perm 201 ) -o ( -perm 204 ) -o ( -perm 205 ) -o ( -perm 210 ) -o ( -perm 211 ) -o ( -perm 214 ) -o ( -perm 215 ) -o ( -perm 240 ) -o ( -perm 241 ) -o ( -perm 244 ) -o ( -perm 245 ) -o ( -perm 250 ) -o ( -perm 251 ) -o ( -perm 254 ) -o ( -perm 255 ) -o ( -perm 300 ) -o ( -perm 301 ) -o ( -perm 304 ) -o ( -perm 305 ) -o ( -perm 310 ) -o ( -perm 311 ) -o ( -perm 314 ) -o ( -perm 315 ) -o ( -perm 340 ) -o ( -perm 341 ) -o ( -perm 344 ) -o ( -perm 345 ) -o ( -perm 350 ) -o ( -perm 351 ) -o ( -perm 354 ) -o ( -perm 355 ) -o ( -perm 400 ) -o ( -perm 401 ) -o ( -perm 404 ) -o ( -perm 405 ) -o ( -perm 410 ) -o ( -perm 411 ) -o ( -perm 414 ) -o ( -perm 415 ) -o ( -perm 440 ) -o ( -perm 441 ) -o ( -perm 444 ) -o ( -perm 445 ) -o ( -perm 450 ) -o ( -perm 451 ) -o ( -perm 454 ) -o ( -perm 455 ) -o ( -perm 500 ) -o ( -perm 501 ) -o ( -perm 504 ) -o ( -perm 505 ) -o ( -perm 510 ) -o ( -perm 511 ) -o ( -perm 514 ) -o ( -perm 515 ) -o ( -perm 540 ) -o ( -perm 541 ) -o ( -perm 544 ) -o ( -perm 545 ) -o ( -perm 550 ) -o ( -perm 551 ) -o ( -perm 554 ) -o ( -perm 555 ) -o ( -perm 600 ) -o ( -perm 601 ) -o ( -perm 604 ) -o ( -perm 605 ) -o ( -perm 610 ) -o ( -perm 611 ) -o ( -perm 614 ) -o ( -perm 615 ) -o ( -perm 640 ) -o ( -perm 641 ) -o ( -perm 644 ) -o ( -perm 645 ) -o ( -perm 650 ) -o ( -perm 651 ) -o ( -perm 654 ) -o ( -perm 655 ) -o ( -perm 700 ) -o ( -perm 701 ) -o ( -perm 704 ) -o ( -perm 705 ) -o ( -perm 710 ) -o ( -perm 711 ) -o ( -perm 714 ) -o ( -perm 715 ) -o ( -perm 740 ) -o ( -perm 741 ) -o ( -perm 744 ) -o ( -perm 745 ) -o ( -perm 750 ) -o ( -perm 751 ) -o ( -perm 754 ) -o ( -perm 755 ) ) ) ) ) ) -print -quit
=== вторая задача выполняется от имени root
sudo -E -u cpaneluser cagefs_enter.proxied /bin/sh -c cd /home/cpaneluser/public_html && find /home/cpaneluser/public_html/wp-content ‘(‘ ‘(‘ ‘(‘ ‘(‘ -type f ‘)’ ‘(‘ -user cpaneluser ‘)’ ‘(‘ ‘!’ ‘(‘ ‘(‘ -perm 000 ‘)’ -o ‘(‘ -perm 004 ‘)’ -o ‘(‘ -perm 040 ‘)’ -o ‘(‘ -perm 044 ‘)’ -o ‘(‘ -perm 200 ‘)’ -o ‘(‘ -perm 204 ‘)’ -o ‘(‘ -perm 240 ‘)’ -o ‘(‘ -perm 244 ‘)’ -o ‘(‘ -perm 400 ‘)’ -o ‘(‘ -perm 404 ‘)’ -o ‘(‘ -perm 440 ‘)’ -o ‘(‘ -perm 444 ‘)’ -o ‘(‘ -perm 600 ‘)’ -o ‘(‘ -perm 604 ‘)’ -o ‘(‘ -perm 640 ‘)’ -o ‘(‘ -perm 644 ‘)’ ‘)’ ‘)’ ‘)’ ‘)’ -o ‘(‘ ‘(‘ ‘(‘ -type d ‘)’ ‘(‘ -user cpaneluser ‘)’ ‘(‘ ‘!’ ‘(‘ ‘(‘ -perm 000 ‘)’ -o ‘(‘ -perm 001 ‘)’ -o ‘(‘ -perm 004 ‘)’ -o ‘(‘ -perm 005 ‘)’ -o ‘(‘ -perm 010 ‘)’ -o ‘(‘ -perm 011 ‘)’ -o ‘(‘ -perm 014 ‘)’ -o ‘(‘ -perm 015 ‘)’ -o ‘(‘ -perm 040 ‘)’ -o ‘(‘ -perm 041 ‘)’ -o ‘(‘ -perm 044 ‘)’ -o ‘(‘ -perm 045 ‘)’ -o ‘(‘ -perm 050 ‘)’ -o ‘(‘ -perm 051 ‘)’ -o ‘(‘ -perm 054 ‘)’ -o ‘(‘ -perm 055 ‘)’ -o ‘(‘ -perm 100 ‘)’ -o ‘(‘ -perm 101 ‘)’ -o ‘(‘ -perm 104 ‘)’ -o ‘(‘ -perm 105 ‘)’ -o ‘(‘ -perm 110 ‘)’ -o ‘(‘ -perm 111 ‘)’ -o ‘(‘ -perm 114 ‘)’ -o ‘(‘ -perm 115 ‘)’ -o ‘(‘ -perm 140 ‘)’ -o ‘(‘ -perm 141 ‘)’ -o ‘(‘ -perm 144 ‘)’ -o ‘(‘ -perm 145 ‘)’ -o ‘(‘ -perm 150 ‘)’ -o ‘(‘ -perm 151 ‘)’ -o ‘(‘ -perm 154 ‘)’ -o ‘(‘ -perm 155 ‘)’ -o ‘(‘ -perm 200 ‘)’ -o ‘(‘ -perm 201 ‘)’ -o ‘(‘ -perm 204 ‘)’ -o ‘(‘ -perm 205 ‘)’ -o ‘(‘ -perm 210 ‘)’ -o ‘(‘ -perm 211 ‘)’ -o ‘(‘ -perm 214 ‘)’ -o ‘(‘ -perm 215 ‘)’ -o ‘(‘ -perm 240 ‘)’ -o ‘(‘ -perm 241 ‘)’ -o ‘(‘ -perm 244 ‘)’ -o ‘(‘ -perm 245 ‘)’ -o ‘(‘ -perm 250 ‘)’ -o ‘(‘ -perm 251 ‘)’ -o ‘(‘ -perm 254 ‘)’ -o ‘(‘ -perm 255 ‘)’ -o ‘(‘ -perm 300 ‘)’ -o ‘(‘ -perm 301 ‘)’ -o ‘(‘ -perm 304 ‘)’ -o ‘(‘ -perm 305 ‘)’ -o ‘(‘ -perm 310 ‘)’ -o ‘(‘ -perm 311 ‘)’ -o ‘(‘ -perm 314 ‘)’ -o ‘(‘ -perm 315 ‘)’ -o ‘(‘ -perm 340 ‘)’ -o ‘(‘ -perm 341 ‘)’ -o ‘(‘ -perm 344 ‘)’ -o ‘(‘ -perm 345 ‘)’ -o ‘(‘ -perm 350 ‘)’ -o ‘(‘ -perm 351 ‘)’ -o ‘(‘ -perm 354 ‘)’ -o ‘(‘ -perm 355 ‘)’ -o ‘(‘ -perm 400 ‘)’ -o ‘(‘ -perm 401 ‘)’ -o ‘(‘ -perm 404 ‘)’ -o ‘(‘ -perm 405 ‘)’ -o ‘(‘ -perm 410 ‘)’ -o ‘(‘ -perm 411 ‘)’ -o ‘(‘ -perm 414 ‘)’ -o ‘(‘ -perm 415 ‘)’ -o ‘(‘ -perm 440 ‘)’ -o ‘(‘ -perm 441 ‘)’ -o ‘(‘ -perm 444 ‘)’ -o ‘(‘ -perm 445 ‘)’ -o ‘(‘ -perm 450 ‘)’ -o ‘(‘ -perm 451 ‘)’ -o ‘(‘ -perm 454 ‘)’ -o ‘(‘ -perm 455 ‘)’ -o ‘(‘ -perm 500 ‘)’ -o ‘(‘ -perm 501 ‘)’ -o ‘(‘ -perm 504 ‘)’ -o ‘(‘ -perm 505 ‘)’ -o ‘(‘ -perm 510 ‘)’ -o ‘(‘ -perm 511 ‘)’ -o ‘(‘ -perm 514 ‘)’ -o ‘(‘ -perm 515 ‘)’ -o ‘(‘ -perm 540 ‘)’ -o ‘(‘ -perm 541 ‘)’ -o ‘(‘ -perm 544 ‘)’ -o ‘(‘ -perm 545 ‘)’ -o ‘(‘ -perm 550 ‘)’ -o ‘(‘ -perm 551 ‘)’ -o ‘(‘ -perm 554 ‘)’ -o ‘(‘ -perm 555 ‘)’ -o ‘(‘ -perm 600 ‘)’ -o ‘(‘ -perm 601 ‘)’ -o ‘(‘ -perm 604 ‘)’ -o ‘(‘ -perm 605 ‘)’ -o ‘(‘ -perm 610 ‘)’ -o ‘(‘ -perm 611 ‘)’ -o ‘(‘ -perm 614 ‘)’ -o ‘(‘ -perm 615 ‘)’ -o ‘(‘ -perm 640 ‘)’ -o ‘(‘ -perm 641 ‘)’ -o ‘(‘ -perm 644 ‘)’ -o ‘(‘ -perm 645 ‘)’ -o ‘(‘ -perm 650 ‘)’ -o ‘(‘ -perm 651 ‘)’ -o ‘(‘ -perm 654 ‘)’ -o ‘(‘ -perm 655 ‘)’ -o ‘(‘ -perm 700 ‘)’ -o ‘(‘ -perm 701 ‘)’ -o ‘(‘ -perm 704 ‘)’ -o ‘(‘ -perm 705 ‘)’ -o ‘(‘ -perm 710 ‘)’ -o ‘(‘ -perm 711 ‘)’ -o ‘(‘ -perm 714 ‘)’ -o ‘(‘ -perm 715 ‘)’ -o ‘(‘ -perm 740 ‘)’ -o ‘(‘ -perm 741 ‘)’ -o ‘(‘ -perm 744 ‘)’ -o ‘(‘ -perm 745 ‘)’ -o ‘(‘ -perm 750 ‘)’ -o ‘(‘ -perm 751 ‘)’ -o ‘(‘ -perm 754 ‘)’ -o ‘(‘ -perm 755 ‘)’ ‘)’ ‘)’ ‘)’ ‘)’ ‘)’ -print -quit
Ответ или решение
Ваша ситуация с процессами, запущенными пользователем cpaneluser и root, вызывает некоторые подозрения, и важно провести тщательное расследование, чтобы определить, не скомпрометирована ли ваша система.
Анализ процессов
-
Процесс, запущенный пользователем
cpaneluser:- Команда
find, которую вы указали, ищет файлы и директории в каталоге/home/cpaneluser/public_html/wp-contentс определённым набором прав доступа. - Что настораживает, так это уровень прав доступа, который используется в запросе. Он включает в себя поиск только тех файлов, права доступа к которым отличаются от указанных, что может указывать на наличие проблем с правами доступа в данном каталоге.
- Команда
-
Процесс, запущенный от имени
root:- Этот процесс использует
sudoдля выполнения команды от имени пользователяcpaneluser, что подразумевает, что пользовательrootимеет возможность управлять действиями пользователяcpaneluser. Это нормальная практика, однако, если вы не давали разрешение на выполнение данных команд, это может быть признаком неправомерного использованияsudo. - Кроме того, использование
cagefs_enter.proxiedговорит о том, что пользовательcpaneluserработает в среде CageFS, что может быть частью управления безопасностью, но это также может указывать на попытку скрыть действия.
- Этот процесс использует
Возможные действия и рекомендации
-
Проверьте журналы:
- Проверьте журналы входа на сервер, чтобы выяснить, не было ли подозрительных действий, особенно попыток входа без разрешения.
- Проверьте журнал
sudoна предмет команд, выполненных от имениroot, чтобы увидеть, были ли выполнены команды, которые вы не одобряли.
-
Проверьте наличие вредоносного ПО:
- Запустите антивирусное программное обеспечение или инструменты для обнаружения вредоносных программ на сервере. Это поможет выявить возможные угрозы или вредоносные скрипты, находящиеся в каталоге
public_htmlили других каталогах.
- Запустите антивирусное программное обеспечение или инструменты для обнаружения вредоносных программ на сервере. Это поможет выявить возможные угрозы или вредоносные скрипты, находящиеся в каталоге
-
Измените пароли и обеспечьте доступ:
- Измените пароли всех учетных записей, особенно тех, что имеют высокий уровень доступа (как root).
- Если
cpaneluserне должен иметь SSH-доступ, убедитесь, что его учетная запись безопасна и что нет возможности удаления.
-
Оцените свои права доступа:
- Проанализируйте права доступа к файлам и директориям на вашем сервере, особенно в каталоге
public_html. Убедитесь, что там нет несанкционированного доступа к критически важным файлам.
- Проанализируйте права доступа к файлам и директориям на вашем сервере, особенно в каталоге
-
Обновите программное обеспечение:
- Убедитесь, что ваше программное обеспечение, включая серверную ОС, веб-сервер и все приложения, обновлено до последних версий, чтобы избежать уязвимостей.
Заключение
При обнаружении странных процессов важно не паниковать, но и не игнорировать проблему. Проверьте систему на наличие потенциальных компрометаций и примите соответствующие меры для её защиты. Если у вас нет необходимых навыков для выполнения этой работы, обратитесь к профессионалам по безопасности для проведения глубокой оценки и улучшения защиты вашего сервера.