Pe server (CentOS 6) au început să apară periodic întreruperi la rețea, majoritatea ping-urilor au venit cu o eroare. Cumva conectat la server de către ssh, marginea ochiului a cuplat ieșirea de la ps și a văzut că serverul rulează procese terță parte.
Având acces la IPMI, am început să mă ocup de virus. Doar spune că serverul a fost hacked, doar sbroutforsili parola dicționar, pe care clientul nu sa schimbat, confirmare security.log.
Imediat a început să se uite la coroane:
# vim / etc / crontab
# Aici am găsit o intrare interesantă care rulează câteva /etc/cron.hourly/gcc.sh la fiecare trei minute
Înregistrarea din coroană a fost ștearsă.
M-am uitat la conținutul acestui script:
# cat /etc/cron.hourly/gcc.sh
pentru că am în `cat / proc / net / dev | grep: | awk -F:`; face ifconfig $ i sus făcut
cp /lib/libudev.so /lib/libudev.so.6
/lib/libudev.so.6
Caut intrări suspecte în krona și le șterg:
# tail /etc/cron.*/*
Am resetat libudev.so:
#> /lib/libudev.so
Șterg scriptul în sine:
# rm /etc/cron.hourly/gcc.sh
Caut coroane suspecte:
# ls -lRt /etc/init.d/ | mai puțin
rtykqzfntq
ncalqyloch
.
Dezactivez autorun și șterg fizic:
# chkconfig --del rtykqzfntq
# chkconfig --del ncalqyloch
# găsiți /etc/init.d/ -name rtykqzfntq -print -delete
# găsi /etc/init.d/ -name ncalqyloch -print -delete
Caut, de asemenea, intrări suspecte în / usr / bin:
# ls -tl / usr / bin | mai puțin
rtykqzfntq
ncalqyloch
.
Le șterg:
# cd / usr / bin
# rm -f rtykqzfntq ncalqyloch
Concluzie: trebuie să selectați parolele normale.