오늘 아침에 해킹당했어요!
다음 crontab 항목이 무엇을 의미하는지 아는 사람이 있습니까?
먼저 dir 구조를 만듭니다.
.rsync/
├── a
│ ├── a
│ ├── anacron
│ ├── cron
│ ├── init0
│ ├── run
│ └── stop
둘째: 이 cronjob을 실행합니다.
에서:crontab -l
0 */3 * * /home/ftpuser/.nullcache/a/upd>/dev/null 2>&1
@reboot /home/ftpuser/.nullcache/a/upd>/dev/null 2>&1
5 8 * * 0 /home/ftpuser/.nullcache/b/sync>/dev/null 2>&1
@reboot /home/ftpuser/.nullcache/b/sync>/dev/null 2>&1
0 0 */3 * * /tmp/.X17-unix/.rsync/c/aptitude>/dev/null 2>&1
마지막으로 모든 CPU가 100%로 실행되고 있으며 네트워크의 모든 대역폭을 소비하고 있습니다.
ftpuser와 관련된 모든 PID를 종료했고 모든 것이 정상으로 돌아왔습니다.
답변1
아직 문제를 해결하지 못했습니다.
- 당신이 발견한 것은 빙산의 일각에 불과할 수도 있습니다. 악성 코드를 숨기는 방법에는 여러 가지가 있습니다. 당신이 쉽게 보는 것은 아마도 당신을 잘못된 안정감으로 끌어들이기 위해 고안되었을 것입니다.
- 가까스로 악성코드를 모두 찾아내더라도, 일단 들어간 구멍을 찾아서 막을 때까지 다시 나타날 수도 있습니다.
- 다른 사람의 데이터(이메일 주소, IP 주소, 구매 내역, 사용 로그 등 개인 식별 정보를 포함하되 이에 국한되지 않음)를 보유하고 있는 경우 해당 사람에게 위반 사실을 알리고 어떻게 위반했는지 알려야 합니다. 이 데이터를 얻는 방법. 데이터가 손상될 수 있습니다. 이는 좋은 생각일 뿐만 아니라 많은 곳에서 법으로 규정되어 있습니다.
시스템을 종료하고 맬웨어가 어떻게 침투했는지 조사한 후 깨끗한 복사본을 처음부터 다시 설치해야 합니다.
자세한 내용은 다음을 참조하세요.감염된 서버를 처리하는 방법은 무엇입니까?.
이는 상당히 단순한 악성 코드처럼 보입니다. 신뢰할 수 있는 이름이 모호한 디렉터리에 있습니다.
ftpuser아마도 이 사용자는 1~2년 전에 아키텍처가 정체된 일부 서버에 존재할 수도 있습니다. (인증된 FTP는 SFTP를 포함해 SSH로 대체되기에는 이미 오랜 시간이 지났습니다. 익명 FTP는 거의 HTTP로 대체되었습니다.).nullcache예일부 목록에 숨겨져 있음. "Nulcache"는 다양한 맥락에서 의미를 갖습니다. 디렉토리를 사용하는 도구는 모르지만.nullcache디렉토리 목록에서 완전히 이상해 보이지는 않을 것입니다.aptitude프로세스 목록(사용되는 배포판, 즉 데비안과 그 파생물)에서 이상해 보이지 않는 시스템 관리 도구입니다.sync는 표준 유틸리티이지만 일반적으로 오랫동안 실행되지 않으므로 프로세스 목록에는 들어가지 않지만 겉모습은 무해합니다.upd표준적인 이름은 아니지만 "업데이트"의 약어처럼 보여 무해해 보입니다.anacron일반적으로 사용되는 도구 이며cron많은 시스템에는 이 이름을 가진 디렉터리가 있습니다(/var/spool).init0가까운init. A는run다른 장소(/run,/var/run)에 존재합니다.stop디렉토리 이름으로는 흔하지 않지만 완전히 부적절한 것은 아닙니다./tmp/.X17-unix완전히 믿을 수 없지만/tmp/.X11-unix이를 실행하는 모든 시스템에서 발생하는 것과 시각적으로 유사합니다.X 윈도우 시스템(X11)표준 유닉스는 이를 기반으로 하고 있는데 숫자 11이 중요하다는 사실을 많은 사람들이 모르고 있다.
크론 작업은 시작 시( @reboot), 일주일에 한 번( 5 8 * * 0) 또는 대략 3일마다( ) 0 0 */3 * *이러한 모호하고 신뢰할 수 있는 위치에서 다양한 바이너리를 실행합니다 .