我刚刚注意到/tmp我的两个 CentOS 盒子里都存储着一个奇怪的目录。
在一台机器上,临时目录被称为 ,/tmp/www4-679109而在我的第二台机器上,临时目录是/tmp/sos_e6X9_3。
这两个可疑目录都包含四个子目录:etc proc sys var。
此可疑目录树上的 etc 文件夹包含我的主要 sendmail 配置文件 submit.cf 的相同副本。/tmp/sos_e6X9_3/etc/mail/submit.cf和 /etc/mail/submit.cf。这让我认为 sendmail 以某种方式被用来中继邮件。虽然我无法验证 maillog 文件是否确实如此,但尚无定论。
此外,这个可疑的奇怪目录还包含某种审计日志文件。(/tmp/sos_e6X9_3/var/log/audit/audit.log.1)
日志文件内容片段:
type=LOGIN msg=audit(1293719401.416:2772543): login pid=6662 uid=0 old auid=4294967295 new auid=0 old ses=4294967295 new ses=557197
type=LOGIN msg=audit(1293719401.417:2772544): login pid=6660 uid=0 old auid=4294967295 new auid=0 old ses=4294967295 new ses=557198
type=LOGIN msg=audit(1293719401.418:2772545): login pid=6649 uid=0 old auid=4294967295 new auid=599 old ses=4294967295 new ses=557199
type=LOGIN msg=audit(1293719401.420:2772546): login pid=6665 uid=0 old auid=4294967295 new auid=0 old ses=4294967295 new ses=557200
type=USER_ACCT msg=audit(1293719401.423:2772547): user pid=6668 uid=0 auid=4294967295 subj=system_u:system_r:crond_t:s0-s0:c0.c1023 msg='PAM: accounting acct="root" : exe="/usr/sbin/crond" (hostname=?, addr=?, terminal=cron res=success)'
type=USER_START msg=audit(1293719401.424:2772548): user pid=6653 uid=0 auid=0 subj=system_u:system_r:crond_t:s0-s0:c0.c1023 msg='PAM: session open acct="root" : exe="/usr/sbin/crond" (hostname=?, addr=?, terminal=cron res=success)'
让我最担心的是,我的 CentOS 机器上的这些可疑文件和目录似乎在 中有一个类似 procfs 的目录。与和的/tmp/sos_e6X9_3/proc唯一区别在于 中没有任何可查看的进程信息。 /tmp/sos_e6X9_3/proc/proc/tmp/sos_e6X9_3/proc
我已使两台 CentOS 机器保持最新状态,并且没有对 sendmail 进行任何可能使其受到攻击的更改(除非 sendmail 从一开始就受到攻击)。
有谁对为什么创建这些可疑的临时文件和文件夹有任何想法/反馈吗?
更新:这些可疑文件似乎是在我们与 Red Hat 支持人员合作解决另一个问题时由 sosreport 实用程序生成的。我检查了日志,时间戳与可疑文件和目录的时间戳相匹配。感谢您的支持和反馈。你们太棒了!
答案1
执行 sosreport 命令时会创建您在 /tmp 中找到的 sos 目录。这是一个 Red Hat 实用程序,用于收集系统信息,这些信息对 Red Hat 支持人员在排除系统故障时很有用。据我所知,这在 CentOS 上没有用,但由于 CentOS 基于 RHEL,所以它在那里(假设)。
編輯:我謝謝你的大胆的打印说明你发现它与 sosreport 有关。
答案2
我肯定会立即运行“chkrootkit”和“rkhunter”。如果您可以下载 netstat、lsof、ls、less 和 ps 的二进制文件并直接运行它们,那么您将更好地了解这些机器正在做什么。
请注意,这些下载的干净二进制文件只应在该登录会话中受信任。每次需要时都下载它们。我见过文件在受到攻击后每次登录时都会被覆盖。
如果您可以在几分钟内将除管理员 IP 之外的所有内容都封堵在 SSH 防火墙之外,那么在运行这些测试时效果会更好。
仔细检查机器周围,寻找任何不同之处。从“top”的格式化颜色输出到“w”加载速度。
答案3
无论你是否真的找到了 rootkit,我都会:
- 更改环境中所有相关密码,
- 在实时 CD 上重新启动机器,并通过网络将完整的磁盘映像复制到某个地方,以便稍后进行分析,
- 使用 dd if=/dev/zero of=/dev/<whatever> 清理磁盘。确保覆盖 MBR,
- 使用重新安装民众存储库,
- 分析图像,试图找出发生了什么,并且
- 将结论报告给一些相关的清算机构。
是的,这有点偏执,但通常比尝试研究问题并变得聪明是一条更快的恢复途径。
从 OP 看来,这是一个邮件服务器。如果是这样,您还会遇到一个额外的问题,即该邮箱可能会发送受污染的邮件。除非我绝对确定邮件队列在途中没有被重写,否则我不会发布邮件队列。