今天早上,我观看了一场关于 IT 安全的月度网络研讨会。其中一个主题是恶意软件“mumblehard”。该恶意软件会将您的服务器变成僵尸网络的一部分,并通过电子邮件发送垃圾邮件。该恶意软件位于 /tmp 或 /var/tmp 文件夹中。所以我查看了这个文件夹,看到了几个文件夹。其中一个是 owncloud 文件夹,名为“owncloud-occ23cq12x22...”。网络研讨会主持人说,像上面这个例子中的带有字符的文件夹是恶意软件文件夹。我重新启动了服务器,因为 tmp 文件夹将被清除。现在这个文件夹中什么都没有了(仅适用于 midnight-commander 的 mc 文件夹)。这可能是恶意软件吗?还是 owncloud 创建这个 tmp 文件夹是正常的?我已经在我的网络服务器上安装了 owncloud。
谢谢
答案1
软件在 /tmp/ 中创建文件和自己的目录来存储临时文件(很可能是与会话相关的文件)是完全正常的。这就是 /tmp/ 的用途。
一般来说,这些文件包含软件的名称(例如,您的示例中有 owncloud* 和后面的一组“随机”字符)。如果您从未安装过 owncloud 并且拥有这些文件,我估计肯定出了问题。如果您确实安装了它(正如您所做的那样),我会认为一切都很好。
在我自己的 /tmp/ 中有一个sni-qt_synergy。Synergy 是一款将 2 个系统连接到 1 个鼠标和键盘的软件。使用加密时您也会看到这种行为(尽管这可能在 /tmp/ 之外)。
目前,根据您提供的信息,我会说:完全正常。
与恶意软件相关:它是通过 WordPress 和 Joomla 漏洞以及破解的 DirectMailer 安装的(如果您没有这些,您就安全了),并且检测非常简单,因为它会创建自己的 cron 作业。crontab -l使用 root 和 amore /etc/crontab将始终显示您的系统中是否存在此恶意软件
删除该 cron 作业,清理 /tmp(或 /var/tmp)并删除破解的 DirectMailer。