私のVPSが破損していますか?

tag-icon tag-icon ubuntu security vps
私のVPSが破損していますか?

本日、誤ってVPSにSSHで接続してhtopを確認しました。 CPUの使用量がなぜ100%なのかすぐに疑問になり、疑わしい「マススキャン」プログラムを実行する不明なスクリーンセッションが見つかりました。

私はスクリーンセッションに入り、完全に未知のプログラムが実行されているのを見て、完全にショックを受けました。まるでインターネット、任意のIPアドレス、ポートをスキャンしているようです。残念ながら、アプリケーションをCtrl + Cで実行する前に、コンソールコンテンツのスクリーンショットを撮ることを忘れていました。

そのため、/var/lib/rmrf/.files パスで非常に奇妙なことが起こっていることがわかりました。このフォルダの内容については後述する。不吉な見知らぬ人がその痕跡を消そうとする場合に備えて、このフォルダをダウンロードしました。また、実際の人が入力したことを示す最後のコマンドも確認しました(下記の説明を参照)。

私のVPSに何が起こっているのかを提案できる人はいますか? !私はハッキングされたか、ボットネットワークまたはそのようなものの一部だと思った。どうやって進めますか?次はどのような推奨措置を講じるべきですか? (VPSを一時的に停止しました)

私が知っている対応する画面セッションに最後に入力されたシェルコマンドはまだ入力されていません(タイプミスを見ると、これらのコマンドはスクリプトや同様のものではなく、人が入力したようです)。

./notti ;./notti ;./notti ;./notti ;./notti ;./notti ;./notti ;./notti ;./notti ;./notti ;./notti
./rupe
chmod +x rupe
./rupe
chmod +x masscan
chmod +x .*
chmod +x *
./notti ;./notti ;./notti ;./notti ;./notti ;./notti ;./notti ;./notti ;./notti ;./notti ;./notti
./rupe
chmod +x *
chmod +x .*
./notti ;./notti ;./notti ;./notti ;./notti ;./notti ;./notti ;./notti ;./notti ;./notti ;./notti
ls -a
chmod +x main
./notti ;./notti ;./notti ;./notti ;./notti ;./notti ;./notti ;./notti ;./notti ;./notti ;./notti

フォルダの内容:

main
masscan
.sbanner
notti
rupe
.filter
... 161 text documents (with hundreds of thousands of ip addresses each)
bios.txt (hundreds of thousands lines, each "open tcp 6122 x.x.x.x 1665657431" - the last number seems to be counted up of something, it increases by one every couple of lines)
fura 
pass (looks like a list of possible passwords for (random?) usersnames [www-data, uftp, Huawei, steam, root, www, postgres .....], 621 lines, each username fills several lines, each with several possible passwords; one of my accounts (obsolete minecraft server) is included, while others are not)
paused.conf (seems to contain informations for the program to load during the next startup in order to continue)
ports (contains 146 lines of seemingly different ports)
prinse.v5 (379 lines of this format: [ 2 ] - [ ACCOUNTNAME@IP-ADDRESS:PORT Pass: PASSWORD ] - [ A - x86_64 | G - NO ]) The very first number differs from line to line
ultimate.lst (475k lines in the format: 116.206.100.0/22 #subnets?, I am no expert)
users.v5 (seemingly a list of possible account names; seems to be structured by different OS and each with possible account names, 5291 lines)
.resturi.v5 (5775 lines, Format: test test XXX.XXX.XXX.XXX 20022 aarch64 4)
.txt (865k lines with IP addresses)

バナーログ:

176.41.224.105 - /multistream/1.0.0
171.6.145.194 - RFB 003.003
111.201.215.224 - SSH-2.0-OpenSSH_8.0
199.15.77.4 - RFB 003.008
188.131.180.65 - HTTP/1.1 302 Redirect
Server: Gnway RProxy Server
Location: http://xiaohe8.ikuai5.com:5353/natforward-yun-404.html?port=6122
Date Thu, 13 Oct 2022 18:37:28 GMT

123.13.215.124 - SSH-2.0-OpenSSH_7.4
8.129.103.205 - SSH-2.0-OpenSSH_7.4
103.131.17.166 - 
111.173.83.64 - D
1.15.74.126 - SSH-2.0-OpenSSH_7.4
202.120.188.70 - SSH-2.0-OpenSSH_7.4
123.57.71.35 - SSH-2.0-OpenSSH_8.0
103.131.17.206 - 
82.156.252.38 - SSH-2.0-OpenSSH_7.4
120.92.50.5 - 
202.148.3.166 - 220 (vsFTPd 2.0.5)
94.103.35.8 - RFB 003.008

ベストアンサー1

おすすめ記事