나는 약 1년 동안 사용된 CentOS 상자를 가지고 있습니다. 그다지 중요한 내용은 없으며, 개인적으로 보증할 수 없고 상당히 오래된 PHP 코드가 많이 포함되어 있습니다. 나는 이것이 문제를 요구하고 있다는 것을 알고 있습니다.
나는 SSH를 강화하고 IPTables 등을 통한 액세스를 제한하기 위해 내가 알고 있는 일을 했습니다. 오늘 나는 /usr/bin/ 및 /bin/에서 걱정스러운 파일을 많이 발견했습니다. 하루에 20개 정도의 비율로 몇 달에 걸쳐 생성된 바이너리의 복제본처럼 보이는 것들이 많이 있습니다.
-rw-r--r-- 1 root root 47024 Aug 7 2011 chage;4e3f01f7
-rw-r--r-- 1 root root 47024 Aug 7 2011 chage;4e3f1007
-rw-r--r-- 1 root root 47024 Aug 8 2011 chage;4e3f1e17
-rw-r--r-- 1 root root 47024 Aug 8 2011 chage;4e3f2c27
-rw-r--r-- 1 root root 47024 Aug 8 2011 chage;4e3f3a38
-rw-r--r-- 1 root root 47024 Aug 8 2011 chage;4e3f4846
비슷한 일이 일어나는 다른 바이너리로는 newgrp, gpasswd, lastlog, dig, usleep 및 doexec가 있습니다.
마지막 파일 날짜는 8월 8일이므로 그때까지 거슬러 올라가는 로그가 없습니다. 여기서 무슨 일이 일어났는지 이해하는 데 도움을 줄 수 있는 사람이 있나요?
답변1
나는 당신에게 말할 수 없습니다왜그런 일이 일어나고 있지만 그 뒤의 숫자는 ;타임스탬프와 매우 유사합니다.
4e3f01f7 => Sun Aug 7 17:21:59 2011
4e3f1007 => Sun Aug 7 18:21:59 2011
4e3f1e17 => Sun Aug 7 19:21:59 2011
4e3f2c27 => Sun Aug 7 20:21:59 2011
4e3f3a38 => Sun Aug 7 21:22:00 2011
4e3f4846 => Sun Aug 7 22:21:58 2011
(16진수로 표시된 에포크 이후의 초) 거의 정확히 1분 간격이라는 사실을 보면 크론 작업이 아닐까 의심해 볼 수 있습니다.
그들은 또한 같은 크기입니다. 어쩌면 당신은 그들이 일치하는지 확인해야 합니까 md5sum? 아니면 하드링크된 동일한 파일일 수도 있나요? (에서 inode 번호를 확인하세요 stat).