
私は CentOS ボックスを 1 年ほど使用しています。非常に重要なものは何もありませんが、個人的に保証できない PHP コードが大量にあり、かなり古いです。これがトラブルの原因になっていることはわかっています。
SSH を強化し、IPTables などを介してアクセスを制限するために、私が知っていることを行いました。今日、/usr/bin/ と /bin/ に心配なファイルがたくさんあることに気付きました。バイナリの複製のように見えるものが多数あり、数か月にわたって 1 日あたり 20 個程度の割合で作成されています。
-rw-r--r-- 1 root root 47024 Aug 7 2011 chage;4e3f01f7
-rw-r--r-- 1 root root 47024 Aug 7 2011 chage;4e3f1007
-rw-r--r-- 1 root root 47024 Aug 8 2011 chage;4e3f1e17
-rw-r--r-- 1 root root 47024 Aug 8 2011 chage;4e3f2c27
-rw-r--r-- 1 root root 47024 Aug 8 2011 chage;4e3f3a38
-rw-r--r-- 1 root root 47024 Aug 8 2011 chage;4e3f4846
同様の動作をする他のバイナリは、newgrp、gpasswd、lastlog、dig、usleep、doexec です。
最後のファイルの日付は 8 月 8 日なので、それまで遡るログはありません。ここで何が起こったのか理解するのを手伝ってくれる人はいませんか?
答え1
言えないなぜそれは起こっていますが、その後の数字は;
タイムスタンプのように見えます:
4e3f01f7 => Sun Aug 7 17:21:59 2011
4e3f1007 => Sun Aug 7 18:21:59 2011
4e3f1e17 => Sun Aug 7 19:21:59 2011
4e3f2c27 => Sun Aug 7 20:21:59 2011
4e3f3a38 => Sun Aug 7 21:22:00 2011
4e3f4846 => Sun Aug 7 22:21:58 2011
(エポックからの秒数を 16 進数で表したもの)。ほぼ 1 分間隔になっていることから、cron ジョブではないかと疑ってしまいます。
サイズも同じです。 と一致しているかどうかmd5sum
、またはハードリンクされた同じファイルである可能性があるかどうかを確認したほうがよいでしょうか? ( の inode 番号を確認してくださいstat
)。