今天早上我被黑了!
有谁知道下面的 crontab 条目可能意味着什么?
第一他们创建了一个 dir 结构
.rsync/
├── a
│ ├── a
│ ├── anacron
│ ├── cron
│ ├── init0
│ ├── run
│ └── stop
第二:执行这个cronjob
从:crontab -l
0 */3 * * /home/ftpuser/.nullcache/a/upd>/dev/null 2>&1
@reboot /home/ftpuser/.nullcache/a/upd>/dev/null 2>&1
5 8 * * 0 /home/ftpuser/.nullcache/b/sync>/dev/null 2>&1
@reboot /home/ftpuser/.nullcache/b/sync>/dev/null 2>&1
0 0 */3 * * /tmp/.X17-unix/.rsync/c/aptitude>/dev/null 2>&1
最后:我所有的 CPU 都以 100% 的速度运行,并消耗了网络上的所有带宽。
我杀死了所有与 ftpuser 相关的 PID,一切恢复正常
答案1
你还没有解决问题。
- 您发现的可能只是冰山一角。有很多方法可以隐藏恶意软件。你轻易看到的东西很可能是为了让你产生一种虚假的安全感而设计的。
- 即使您设法找到所有恶意软件,在找到并堵住它曾经进入的漏洞之前,它也可能会再次出现。
- 如果您拥有其他人的数据(包括但不限于私人身份信息,例如电子邮件地址、IP 地址、购买历史记录、使用日志等),您需要将泄露情况通知这些人,并让他们知道他们以何种方式获取这些数据。数据可能会受到损害。这不仅仅是一个好主意,而且是许多地方的法律。
您需要关闭系统,调查恶意软件是如何进入的,然后从头开始重新安装干净的副本。
有关更多信息,请参阅如何处理受感染的服务器?。
这看起来确实像是一些相当简单的恶意软件。它位于具有模糊可信名称的目录中:
ftpuser
可以想象,该用户可能存在于某些服务器上,而这些服务器的结构在一两年前就已经停滞了。 (经过身份验证的 FTP 早就应该被 SSH 所取代,包括 SFTP。匿名 FTP 几乎已经被 HTTP 所取代。).nullcache
是隐藏在一些列表中。 “Nullcache”在不同的上下文中都有含义。虽然我不知道有哪个工具使用.nullcache
目录,但它在目录列表中看起来不完全不合适,这是合理的。aptitude
是一个系统管理工具,在进程列表中不会显得格格不入(在使用它的发行版上,即 Debian 及其衍生版本)。sync
是一个标准实用程序,但通常不会运行很长时间,因此虽然它在进程列表中不合适,但它的外观无害。upd
不是标准名称,但它看起来无害,因为它看起来像是“update”的缩写。anacron
和cron
是常用工具,并且在许多系统上都有具有此名称的目录(在/var/spool
)。init0
接近init
。 Arun
存在于不同的地方 (/run
,/var/run
)。stop
作为目录名并不常见,但也不是完全不合适。/tmp/.X17-unix
完全难以置信,但在视觉上与/tmp/.X11-unix
运行该系统的所有系统上的情况相似X 窗口系统 (X11)标准 Unix 就是基于它的,很多人不知道数字 11 很重要。
cron 作业在启动时 ( @reboot
)、每周一次 ( 5 8 * * 0
) 或大约每三天 ( 0 0 */3 * *
) 在这些模糊可信的位置运行各种二进制文件。