私の「CentOS 7」サーバーの1つに次のものが表示されます。奇妙な行動。 「名前」のユーザー印象的+「というコマンドを実行します。」予約されたこと". この"cron"コマンドが使用されます。高いCPU消費。
そうかもしれないと思うので心配です。悪意のあるソフトウェア...
サーバーには何もインストールされておらず、「sshd」のみを実行します。
質問:この「impress+」ユーザーとこの「cron」コマンドの詳細についてはどうすればよいですか?
ありがとうございます! =D
答え1
残念ながら私のサーバーは感染した...=\
Chkrootkitセキュリティユーティリティの出力の一部(http://www.chkrootkit.org/)...
注:この情報はシステム分析によって確認されました!
[...]
Searching for Linux.Xor.DDoS ... INFECTED: Possible Malicious Linux.Xor.DDoS installed
/tmp/.X19-unix/.rsync/c/lib/64/libc.so.6
/tmp/.X19-unix/.rsync/c/lib/64/libpthread.so.0
/tmp/.X19-unix/.rsync/c/lib/64/tsm
/tmp/.X19-unix/.rsync/c/lib/32/libc.so.6
/tmp/.X19-unix/.rsync/c/lib/32/libpthread.so.0
/tmp/.X19-unix/.rsync/c/lib/32/tsm
/tmp/.X19-unix/.rsync/c/lib/arm/libc.so.6
/tmp/.X19-unix/.rsync/c/lib/arm/libpthread.so.0
/tmp/.X19-unix/.rsync/c/lib/arm/tsm
/tmp/.X19-unix/.rsync/c/slow
/tmp/.X19-unix/.rsync/c/tsm
/tmp/.X19-unix/.rsync/c/watchdog
/tmp/.X19-unix/.rsync/c/run
/tmp/.X19-unix/.rsync/c/go
/tmp/.X19-unix/.rsync/c/tsm32
/tmp/.X19-unix/.rsync/c/tsmv7
/tmp/.X19-unix/.rsync/c/start
/tmp/.X19-unix/.rsync/c/tsm64
/tmp/.X19-unix/.rsync/c/stop
/tmp/.X19-unix/.rsync/c/v
/tmp/.X19-unix/.rsync/c/golan
/tmp/.X19-unix/.rsync/c/dir.dir
/tmp/.X19-unix/.rsync/c/n
/tmp/.X19-unix/.rsync/c/aptitude
/tmp/.X19-unix/.rsync/init
/tmp/.X19-unix/.rsync/init2
/tmp/.X19-unix/.rsync/initall
/tmp/.X19-unix/.rsync/a/anacron
/tmp/.X19-unix/.rsync/a/run
/tmp/.X19-unix/.rsync/a/stop
/tmp/.X19-unix/.rsync/a/a
/tmp/.X19-unix/.rsync/a/cron
/tmp/.X19-unix/.rsync/a/init0
/tmp/.X19-unix/.rsync/b/run
/tmp/.X19-unix/.rsync/b/stop
/tmp/.X19-unix/.rsync/b/a
/tmp/.X19-unix/.rsync/1
/tmp/.X19-unix/.rsync/dir.dir
[...]
取った処置:感染したサーバーを破壊します。ローカルインフラストラクチャで「root」パスワードを変更します。 「root」で実行できるユーザーのパスワードを変更します。
ヒント:Chkrootkit は、次のコマンドでインストールおよび構成されます。プライベートタキシードツール(https://github.com/eduardolucioac/private_tux)。セキュリティユーティリティをインストールして設定し、さまざまなセキュリティ診断を自動的に実行します。
公開:私はprivate_tuxの著者です。