Estou com uma situação suspeita no meu vServer (Centos 7). Um script bash desconhecido está consumindo toda a memória do servidor. Há uma conexão perceptível com o "fora".
Infelizmente meu conhecimento em Unix é limitado.
Como posso proibir uma conexão externa para o usuário git?
Como posso descobrir onde residem esses scripts bash, qual é o conteúdo do script?
lsof -p 1577
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
bash 1577 git cwd DIR 182,395665 4096 2 /
bash 1577 git rtd DIR 182,395665 4096 2 /
bash 1577 git txt unknown /proc/1577/exe (readlink: No such file or directory)
bash 1577 git mem REG 182,395665 795648 (deleted)/var/tmp/.ICE-unix/.bash/.bash/bash (stat: No such file or directory)
bash 1577 git 0r FIFO 0,8 0t0 3801753555 pipe
bash 1577 git 1w FIFO 0,8 0t0 3801753556 pipe
bash 1577 git 2w FIFO 0,8 0t0 3801753556 pipe
bash 1577 git 3u REG 182.395665 0 5390 /tmp/.lock
bash 1577 git 4u 0000 0,9 0 4145 [eventpoll]
bash 1577 git 5r FIFO 0,8 0t0 3801755403 pipe
bash 1577 git 6w FIFO 0,8 0t0 3801755403 pipe
bash 1577 git 7r FIFO 0,8 0t0 3801755399 pipe
bash 1577 git 8w FIFO 0,8 0t0 3801755399 pipe
bash 1577 git 9u 0000 0,9 0 4145 [eventfd]
bash 1577 git 10r CHR 1,3 0t0 3801397120 /dev/null
bash 1577 git 11u IPv4 3801755495 0t0 TCP <my server IP>:56542->**blackcat.ro:http** (ESTABLISHED)
Dependendo da sua configuração de firewall existente, pode ser diferente. Mas geralmente você já deve ter o
iptablesfirewall instalado.(Nota: se você tiver
firewalld, ele não pode bloquear um endereço IP, veja aqui para desativá-lo e mudar para iptables)A primeira coisa que você precisa saber é que você não pode bloquear uma solicitação para um domínio, mas pode bloquear usando IP.
Para encontrar o IP, use
nslookup. Diganslookup blackcat.ro. Você receberá uma lista de IPs, você precisa bloquear todos eles. Você pode ver endereços IPv4 e IPv6, use um dos comandos abaixo para bloquear.Quando terminar, salve sua configuração atual para que não seja perdida.