服务器 Gind.cn
  1. 服务器 Gind.cn
  3. CentOS 5.5上的可疑临时目录
Intereting Posts
如何通过命令行从haproxy中删除平衡节点? 如何通过ssh远程启动时从scp获取密码提示 HP ProLiant DL160 Gen5虚拟化 如何使用<desiredname> .myappname.com将应用程序提供给不同的用户 如何处理OpenVPN客户端作为服务,当笔记本电脑在物理上已经在networking上? Windows进程激活服务将无法启动“参数不正确”(Visual Studio 2010 Profiler) 无法通过GroupPolicy首选项添加HKCU条目 如何在Powershell中使用Web服务调用SC Orchestrator启动一个Runbook? 复制beanstalkd的高可用性 networking连接的打印机在Active Directory中 OpenSSL Padding Oracle漏洞(CVE-2016-2107)的风险是什么 空路由/黑名单IPtables路由器上的某些网站 如何允许Iptables的所有端口只用于本地ips除两个特定的端口 为什么我的1PPS GPS stratum-1时钟总是比其他ntp服务器晚100ms? 收集并显示nginx统计信息

CentOS 5.5上的可疑临时目录

我只注意到在我的两个CentOS盒子里的/tmp存储了一个奇怪的目录。

在一台机器上,temp目录被称为/tmp/www4-679109而在我的第二台机器上,temp目录是/tmp/sos_e6X9_3

这两个可疑目录都包含四个子目录:etc proc sys var。

这个可疑的目录树上的etc文件夹包含了我主要的submit.cf sendmailconfiguration文件的相同副本。 /tmp/sos_e6X9_3/etc/mail/submit.cf/etc/mail/submit.cf 。 这让我觉得有些sendmail被用来中继邮件。 虽然我无法validationmaillog文件是不确定的是这种情况。

这个可疑的奇怪的目录中还包含一些审计日志文件。 ( /tmp/sos_e6X9_3/var/log/audit/audit.log.1

日志文件内容片段: 

 type=LOGIN msg=audit(1293719401.416:2772543): login pid=6662 uid=0 old auid=4294967295 new auid=0 old ses=4294967295 new ses=557197 type=LOGIN msg=audit(1293719401.417:2772544): login pid=6660 uid=0 old auid=4294967295 new auid=0 old ses=4294967295 new ses=557198 type=LOGIN msg=audit(1293719401.418:2772545): login pid=6649 uid=0 old auid=4294967295 new auid=599 old ses=4294967295 new ses=557199 type=LOGIN msg=audit(1293719401.420:2772546): login pid=6665 uid=0 old auid=4294967295 new auid=0 old ses=4294967295 new ses=557200 type=USER_ACCT msg=audit(1293719401.423:2772547): user pid=6668 uid=0 auid=4294967295 subj=system_u:system_r:crond_t:s0-s0:c0.c1023 msg='PAM: accounting acct="root" : exe="/usr/sbin/crond" (hostname=?, addr=?, terminal=cron res=success)' type=USER_START msg=audit(1293719401.424:2772548): user pid=6653 uid=0 auid=0 subj=system_u:system_r:crond_t:s0-s0:c0.c1023 msg='PAM: session open acct="root" : exe="/usr/sbin/crond" (hostname=?, addr=?, terminal=cron res=success)'

我的CentOS盒子上这个可疑的文件和目录更多的是我看到它们是/tmp/sos_e6X9_3/proc的procfs目录。 与/tmp/sos_e6X9_3/proc/proc的唯一区别在于/tmp/sos_e6X9_3/proc中没有任何可查看的进程信息。

我保持了两个CentOS机器的最新状态,并没有对sendmail进行任何改变,使一些易受攻击的sendmail(除非sendmail脆弱)。

有没有人有任何想法/反馈为什么这些可疑的临时文件和文件夹被创build?

更新:当我们在不同的问题上使用红帽支持时,似乎可疑文件是由sosreport实用程序生成的。 我检查了日志和时间戳与可疑文件和目录的时间戳匹配。 感谢您的支持和反馈。 你们好棒!

您在/ tmp中find的sos目录是在执行sosreport命令时创build的。 这是一个收集系统信息的红帽实用程序,在对系统进行故障排除时,系统信息对红帽支持是非常有用的。 据我所知,这在CentOS上并不有用,但是由于CentOS基于RHEL,所以它就在那里(假设)。

编辑:我错过了你的大胆打印,说明你发现它处理sosreport。

我肯定会立即运行“chkrootkit”和“rkhunter”。 如果你可以下载一个netstat,lsof,ls,less和ps的二进制文件,然后直接运行它们,那么你就可以更好地了解这个盒子在做什么。

请注意,这些下载的干净的二进制文件只能用于该login会话。 每次需要时都下载它们。 我已经看到妥协后每个login覆盖文件。

如果你能防火墙的一切,除了你的pipe理IP为SSH几分钟,那么当你运行这些testing时更好。

在仔细search周围的机器时,find与众不同的东西。 从“顶”的格式化颜色输出到速度“W”加载。

不pipe你是否真的findrootkit,我都会:

  1. 更改环境中的所有相关密码,
  2. 在活动CD上重新启动boxen,然后通过networking将完整的磁盘映像复制到某个地方供以后分析,
  3. 使用dd清除磁盘if = / dev / zero of = / dev / <whatever>。 确保你覆盖了MBR,
  4. 使用公共存储库重新安装,
  5. 分析图像,试图找出发生了什么,以及
  6. 将结论报告给相关的票据交换所。

是的,这有点偏执,但通常是一个更快的回收途径,而不是试图研究这个问题,而且很聪明。

从OP看来,这是一个邮件服务器。 如果是这样,您还有一个额外的问题,该框可能会发出污染的邮件。 我绝对不会把我的邮件队列发布出去,直到我完全确定它没有被重写。