Cod*_*ian 3 security xen cron centos5
我有一个用于测试的 CentOS 云服务器,并注意到在过去的 30 天内,带宽已经达到顶峰(准确地说是16,000 GB)
当我最初尝试检查服务器时,它完全无法访问(SSH、Web甚至控制台都没有响应(控制台只显示一堆错误,没有登录提示)
我退回了服务器并开始查看日志和登录信息。多年来没有SSH登录,日志中没有什么奇怪的,除了每分钟:
Jan 17 02:20:01 wwwdev crond[21971]: (apache) CMD (/tmp/.../.shy/update >/dev/null 2>&1)
Jan 17 02:21:01 wwwdev crond[21976]: (apache) CMD (/tmp/.../.shy/update >/dev/null 2>&1)
Jan 17 02:22:01 wwwdev crond[21985]: (apache) CMD (/tmp/.../.shy/update >/dev/null 2>&1)
Jan 17 02:23:01 wwwdev crond[21990]: (apache) CMD (/tmp/.../.shy/update >/dev/null 2>&1)
Jan 17 02:24:01 wwwdev crond[22000]: (apache) CMD (/tmp/.../.shy/update >/dev/null 2>&1)
Jan 17 02:25:01 wwwdev crond[22006]: (apache) CMD (/tmp/.../.shy/update >/dev/null 2>&1)
Jan 17 02:26:01 wwwdev crond[22015]: (apache) CMD (/tmp/.../.shy/update >/dev/null 2>&1)
Jan 17 02:27:01 wwwdev crond[22024]: (apache) CMD (/tmp/.../.shy/update >/dev/null 2>&1)
Jan 17 02:28:01 wwwdev crond[22029]: (apache) CMD (/tmp/.../.shy/update >/dev/null 2>&1)
Jan 17 02:29:01 wwwdev crond[22034]: (apache) CMD (/tmp/.../.shy/update >/dev/null 2>&1)
自从我不得不重新启动以来, /tmp 中的任何内容早已不复存在,但我真的很想知道到底发生了什么。
我不知道肯定,但这种描述的气味很像发送出垃圾邮件的服务器妥协。它也可能是一种蠕虫,它正在寻找更多的主机来入侵,但垃圾邮件听起来更有可能。
如果您在电子邮件信誉网站(例如SenderScore或SenderBase)上查找您服务器的 IP 地址,或者只是在 Google 中搜索它,您可能会找到一些证据,甚至是垃圾邮件的示例。您还可以检查DNS 黑名单以查看您的服务器是否被列入黑名单。
cron 作业运行的用户名表明通过您的网站发生的妥协(如果是这样的话)。您在 cron 作业开始前几天的 Web 服务器访问和错误日志将是开始查找的最佳位置。
几乎忘记了我的服务器的强制性链接已被黑客入侵紧急情况。那里有很多关于做什么和如何清理的好建议。不要忘记删除或限制 phpMyAdmin。
| 归档时间: |
|
| 查看次数: |
200 次 |
| 最近记录: |