Eu tive alguma ajuda e consegui resolver esse problema. Havia uma entrada no arquivo /etc/crontab
, como abaixo, e o script foi o que causou o problema.
*/3 * * * * root /etc/cron.hourly/gcc.sh
Ele estava executando algum binário (criptografado) que era responsável por criar binários em /usr/bin
com nomes com fio como ipjihmyzuh, fdmhhxthxy, fojoouuupy, fgqzvgtjan, bsitumzdkd, jrddsxyemy, nmwgbaforc, cuveaysdzg .
Deixe-me explicar brevemente como conseguimos isso.
Do netstat, eu consegui o PID
disso (acima do caso era 1126 / sh , mas o nome e PID
continuam mudando).
Com lsof
, consegui ver os binários com nomes acima.
lsof -p 1126
Nós removemos os binários criados e eles continuam criando depois disso com um nome diferente. Então, como um tiro cego, nós então checamos os arquivos relacionados ao cron e apenas como uma tentativa parou o cron e matou todos os processos suspeitos e removeu binários novamente. A criação binária parou e nada está acontecendo agora.
Começou o cron novamente e as coisas voltaram. Removeu essa entrada de /etc/crontab
, removeu todos os binários recém-criados, matou todos os processos suspeitos e agora tudo está normal.
Não sei como /etc/crontab
foi editado ou /etc/cron.hourly/gcc.sh
foi colocado lá. O cara que me ajudou disse que provavelmente aconteceu como o usuário root pode ter sido hackeado de alguma forma. Eu desabilitei a autenticação ssh
root e usei apenas sudo
user agora.