我遭到了来自中国的某人的网络攻击,他们设法在我的 Ubuntu 14.04 服务器上安装了 Yam(加密挖掘)。
我设法关闭了他们通过公共 IP 的 ssh 访问。并且我已经修复了他们造成的损害。但有两件事仍然让我感到困惑。
1- 我无法从 root 编辑 /etc/rc.local。他们那里有一个脚本,用于添加具有 root 权限的用户“setup”。我无法编辑该脚本,尽管它归 root 所有并具有权限。我被拒绝权限。我可以编辑其他文件,因此文件系统不是只读的。
2- 每次我通过 ssh 登录时,我都会收到欢迎消息,然后是“您有邮件”,接着是大量权限被拒绝的错误,如下所示:
You have mail.
find: `/var/log/speech-dispatcher': Permission denied
find: `/var/log/samba/cores': Permission denied
-bash: /var/log/Xorg.1.log.old: Permission denied
-bash: /var/log/apache2/error.log.43.gz: Permission denied
-bash: /var/log/apache2/error.log.14.gz: Permission denied
-bash: /var/log/apache2/access.log.44.gz: Permission denied
-bash: /var/log/apache2/error.log.13.gz: Permission denied
-bash: /var/log/apache2/crm65.com-access_log: Permission denied
-bash: /var/log/apache2/access.log.9.gz: Permission denied
-bash: /var/log/apache2/error.log.36.gz: Permission denied
-bash: /var/log/apache2/error.log.16.gz: Permission denied
-bash: /var/log/apache2/error.log.11.gz: Permission denied
-bash: /var/log/apache2/testcrm-error.log: Permission denied
-bash: /var/log/apache2/error.log.46.gz: Permission denied
-bash: /var/log/apache2/error.log.18.gz: Permission denied
-bash: /var/log/apache2/access.log.45.gz: Permission denied
-bash: /var/log/apache2/access.log.34.gz: Permission denied
-bash: /var/log/apache2/vtigercrm-access.log: Permission denied
.
.
它基本上遍历整个 /var/log 目录。
我不确定那里发生了什么事。
任何帮助都将不胜感激!
答案1
rc.local被黑客设置为不可变。
使用 chattr 更改文件属性并且我能够编辑它。
至于登录时出现权限被拒绝错误,黑客在 motd 脚本中插入了一些行来删除日志文件,从而隐藏了他的 yam 程序的任何痕迹。删除这些行即可解决问题。
我希望这对遇到类似问题的人有所帮助。我建议您编辑 ssh/iptables 以仅允许某些 IP 通过 ssh 登录,以避免此类问题,这是我从惨痛经历中学到的。