Ich habe eine CentOS-Box, die seit etwa einem Jahr läuft. Sie enthält nichts wirklich Wichtiges und enthält eine Menge PHP-Code, für den ich persönlich nicht bürgen kann und der ziemlich alt ist. Mir ist klar, dass das Ärger bedeutet.
Ich habe die mir bekannten Maßnahmen ergriffen, um SSH abzusichern und den Zugriff über IPTables usw. einzuschränken. Heute sind mir viele beunruhigende Dateien in /usr/bin/ und /bin/ aufgefallen. Viele davon scheinen Duplikate von Binärdateien zu sein, die über einen Zeitraum von ein paar Monaten mit einer Rate von etwa 20 pro Tag erstellt wurden:
-rw-r--r-- 1 root root 47024 Aug 7 2011 chage;4e3f01f7
-rw-r--r-- 1 root root 47024 Aug 7 2011 chage;4e3f1007
-rw-r--r-- 1 root root 47024 Aug 8 2011 chage;4e3f1e17
-rw-r--r-- 1 root root 47024 Aug 8 2011 chage;4e3f2c27
-rw-r--r-- 1 root root 47024 Aug 8 2011 chage;4e3f3a38
-rw-r--r-- 1 root root 47024 Aug 8 2011 chage;4e3f4846
Die anderen Binärdateien mit ähnlichem Verhalten sind newgrp, gpasswd, lastlog, dig, usleep und doexec.
Das letzte Dateidatum ist der 8. August, ich habe also keine Protokolle, die so weit zurückreichen. Kann mir jemand helfen zu verstehen, was hier vor sich gegangen ist?
Antwort1
Ich kann es dir nicht sagenWarumes passiert, aber die Zahlen danach ;sehen sehr nach Zeitstempeln aus:
4e3f01f7 => Sun Aug 7 17:21:59 2011
4e3f1007 => Sun Aug 7 18:21:59 2011
4e3f1e17 => Sun Aug 7 19:21:59 2011
4e3f2c27 => Sun Aug 7 20:21:59 2011
4e3f3a38 => Sun Aug 7 21:22:00 2011
4e3f4846 => Sun Aug 7 22:21:58 2011
(Sekunden seit der Epoche in Hex). Aufgrund der Tatsache, dass sie fast genau eine Minute auseinander liegen, würde ich vielleicht einen Cron-Job vermuten?
Sie haben auch die gleiche Größe. Vielleicht sollten Sie prüfen, ob sie mit übereinstimmen md5sum? oder ob es sich sogar um dieselbe fest verknüpfte Datei handeln könnte? (Inode-Nummer in prüfen stat).