我有一个 CentOS 盒子,已经运行了大约一年。它上面没有任何非常重要的东西,而且有很多 PHP 代码,我个人无法保证这些代码是否正确,而且这些代码相当老旧。我意识到这是自找麻烦。
我做了我所知道的事情来强化 SSH 并限制通过 IPTables 等进行的访问。今天我注意到 /usr/bin/ 和 /bin/ 中有很多令人担忧的文件。许多看起来像是二进制文件的重复文件,在几个月的时间内以每天 20 个左右的速度创建:
-rw-r--r-- 1 root root 47024 Aug 7 2011 chage;4e3f01f7
-rw-r--r-- 1 root root 47024 Aug 7 2011 chage;4e3f1007
-rw-r--r-- 1 root root 47024 Aug 8 2011 chage;4e3f1e17
-rw-r--r-- 1 root root 47024 Aug 8 2011 chage;4e3f2c27
-rw-r--r-- 1 root root 47024 Aug 8 2011 chage;4e3f3a38
-rw-r--r-- 1 root root 47024 Aug 8 2011 chage;4e3f4846
其他具有类似功能的二进制文件是 - newgrp、gpasswd、lastlog、dig、usleep 和 doexec。
最后文件日期是 8 月 8 日,所以我没有那么久之前的日志。有人能帮我了解这里发生了什么吗?
答案1
我不能告诉你为什么它正在发生,但后面的数字;看起来很像时间戳:
4e3f01f7 => Sun Aug 7 17:21:59 2011
4e3f1007 => Sun Aug 7 18:21:59 2011
4e3f1e17 => Sun Aug 7 19:21:59 2011
4e3f2c27 => Sun Aug 7 20:21:59 2011
4e3f3a38 => Sun Aug 7 21:22:00 2011
4e3f4846 => Sun Aug 7 22:21:58 2011
(以十六进制表示自纪元以来的秒数)。由于它们几乎正好相隔一分钟,我怀疑这可能是一个 cron 作业?
它们的大小也相同。也许您应该检查它们是否与md5sum? 匹配,或者它们是否可能是硬链接的同一个文件?(检查 中的 inode 编号stat)。