服务器被黑客入侵-cron继续运行

服务器被黑客入侵-cron继续运行

有人访问了我的EC2 Ubuntu14.04 并安装了一些恶意软件,cron以便使用用户进行端口扫描eric。我删除了用户eric并执行了文件,但syslog我看到

Sep 19 15:27:01 ip-xxx CRON[9388]: Authentication failure
Sep 14 08:45:01 ip-xxx CRON[9389]: (eric) CMD (/var/tmp/.muh/y >/dev/null 2>&1)
Sep 19 15:28:01 ip-xxx CRON[9389]: Authentication failure
Sep 19 15:29:01 ip-xxx CRON[9391]: Authentication failure
Sep 19 15:30:01 ip-xxx CRON[9392]: Authentication failure
Sep 19 15:31:01 ip-xxx CRON[9526]: Authentication failure

谁能告诉我如何找到cron已安装的(crontab为空的)?

答案1

尝试以下一项 (或两项):

  • chmod 000 /var/rmp/.muh/y(如果你想稍后分析)
  • mv /var/tmp/.muh/y /tmp(移至其他位置)
  • rm /var/tmp/.muh/y(彻底删除)

然后你必须找到cron它的安排位置并将其删除。

答案2

感谢大家帮助我解决我的问题并给予 -1。

真正感谢 http://www.cyberciti.biz/faq/how-do-i-add-jobs-to-cron-under-linux-or-unix-oses/

/var/spool/cron/crontabs/
-rw------- 1   1002 crontab  222 Sep 10 19:13 eric
-rw------- 1 ubuntu crontab 1148 Aug 25 16:44 ubuntu

被黑客入侵的账户 eric 放在了他的 crontab 中

* * * * * /var/tmp/.muh/y >/dev/null 2>&1

现在我可以修复它了:)

相关内容