Blog novice sysadmin eldobása a trójai a linux szerveren

A kiszolgálón (CentOS 6) rendszeresen megszakadt a hálózat, a legtöbb ping hibás. Valahogy a ssh-hez kapcsolódott a kiszolgálóhoz, a szem szélére akadt a ps kimenete, és látta, hogy a kiszolgáló harmadik féltől származó folyamatokat fut.






Miután belépett az IPMI-be, elkezdtem foglalkozni a vírussal. Csak azt mondja, hogy a kiszolgálót feltörték, csak a sbroutforsili szótár jelszavát, amelyet az ügyfél nem változott, a security.log megerősítést.

Azonnal elkezdett nézni a koronákat:
# vim / etc / crontab
# Itt találtam egy érdekes bejegyzést, amely három / három percenként végrehajt valami /etc/cron.hourly/gcc.sh fájlt

Felvétel a koronából törölve.

Megnéztem a forgatókönyv tartalmát:
# cat /etc/cron.hourly/gcc.sh
a i / cat / proc / net / dev | grep könyvtárban: | awk -F: `; csináld ifconfig $ i fel csinált
cp /lib/libudev.so/lib/libudev.so.6
/lib/libudev.so.6

A krónikában gyanús bejegyzést keresek és törölni fogom őket:
# tail /etc/cron.*/*

Visszaállítom a libudev.so fájlt:
#> /lib/libudev.so

Törölem a szkriptet:
# rm /etc/cron.hourly/gcc.sh

Gyanús kroonokat keresek:
# ls -lRt /etc/init.d/ | kevesebb
rtykqzfntq
ncalqyloch
.

Letiltom az autorunot és fizikailag törlöm:
# chkconfig --del rtykqzfntq
# chkconfig --del ncalqyloch
# találja a /etc/init.d/ -name rtykqzfntq -print -delete parancsot
# találja a /etc/init.d/ -name ncalqyloch -print -delete parancsot

Gyanús bejegyzéseket keresek a / usr / bin -ban is:
# ls -tl / usr / bin | kevesebb
rtykqzfntq
ncalqyloch
.

Törlöm őket:
# cd / usr / bin
# rm -f rtykqzfntq ncalqyloch

Következtetés: normál jelszavakat kell kiválasztania.