今朝ハッキングされました!
次のcrontabエントリが何を意味するのかを知っている人はいますか?
まず dir 構造を作成します。
.rsync/
├── a
│ ├── a
│ ├── anacron
│ ├── cron
│ ├── init0
│ ├── run
│ └── stop
第二:このcronjobを実行します。
から:crontab -l
0 */3 * * /home/ftpuser/.nullcache/a/upd>/dev/null 2>&1
@reboot /home/ftpuser/.nullcache/a/upd>/dev/null 2>&1
5 8 * * 0 /home/ftpuser/.nullcache/b/sync>/dev/null 2>&1
@reboot /home/ftpuser/.nullcache/b/sync>/dev/null 2>&1
0 0 */3 * * /tmp/.X17-unix/.rsync/c/aptitude>/dev/null 2>&1
最後に、すべてのCPUが100%で実行されており、ネットワークのすべての帯域幅を消費しています。
ftpuserに関連するすべてのPIDを終了し、すべてが正常に戻りました。
ベストアンサー1
まだ問題を解決できませんでした。
- あなたが見つけたのは氷山の一角に過ぎないかもしれません。マルウェアを隠す方法はいくつかあります。あなたが簡単に見ることは、おそらくあなたを間違った安定感に引き付けるように設計されているでしょう。
- 近くでマルウェアをすべて見つけても、一度入った穴を見つけて止まるまで再び現れることもあります。
- 他人のデータ(電子メールアドレス、IPアドレス、購入履歴、使用履歴などの個人識別情報を含むがこれに限定されない)を保持している場合は、その人に違反を知らせ、どのように違反したかを知らせる必要があります。このデータを取得する方法。データが破損する可能性があります。これは良い考えであるだけでなく、多くの場所で法律で規定されています。
システムをシャットダウンしてマルウェアがどのように侵入したかを調べたら、クリーンなコピーを最初から再インストールする必要があります。
詳細については、次を参照してください。感染したサーバーを処理する方法は?。
これはかなり単純なマルウェアのようです。信頼できる名前はあいまいなディレクトリにあります。
ftpuserおそらく、このユーザーは、1〜2年前にアーキテクチャが停滞している一部のサーバーに存在する可能性があります。 (認証されたFTPは、SFTPを含むSSHに置き換えられるにはすでに長い時間がかかりました。匿名FTPはほとんどHTTPに置き換えられています。).nullcacheはい一部のリストに隠されている。 「Nulcache」はさまざまな文脈で意味を持ちます。ディレクトリを使用するツールはわかりませんが、.nullcacheディレクトリリストから完全に奇妙に見えません。aptitudeプロセスリスト(使用されているディストリビューション、つまりDebianとその派生)で奇妙に見えないシステム管理ツールです。syncは標準ユーティリティですが、通常は長い間実行されていないため、プロセスリストには入りませんが、外観は無害です。upd標準的な名前ではありませんが、「更新」の略語のように見え、無害に見えます。anacronよく使用されるツールであり、cron多くのシステムにはこの名前のディレクトリがあります(/var/spool)。init0近いinit。 Aはrun別の場所(/run、、/var/run)に存在します。stopディレクトリ名では一般的ではありませんが、完全に不適切ではありません。/tmp/.X17-unix完全に信じられないが、/tmp/.X11-unixそれを実行しているすべてのシステムで発生するものと視覚的に似ています。Xウィンドウシステム(X11)標準UNIXはこれに基づいているが、数字11が重要であるという事実を多くの人が知らない。
クローンジョブは、起動時に(@reboot)、週に一度(5 8 * * 0)、または約3日ごとに()、0 0 */3 * *これらのあいまいで信頼できる場所でさまざまなバイナリを実行します。