Мне помогли решить эту проблему. В файле / etc / crontab
была запись, как показано ниже, и именно сценарий вызвал проблему.
*/3 * * * * root /etc/cron.hourly/gcc.sh
Он выполнял некоторый двоичный (зашифрованный) файл, который был ответственен за создание двоичных файлов в / usr / bin
с зашитыми именами, такими как ipjihmyzuh, fdmhhxthxy, fojoouuupy, fgqzvgtjan, bsitumzdkforc, cugwdsxyem. .
Позвольте мне вкратце объяснить, как мы это достигли.
Из netstat мне удалось получить PID
для этого (в предыдущем случае это было 1126 / sh , но имя и PID
остаются меняется).
С помощью lsof
я смог увидеть двоичные файлы с указанными выше именами.
lsof -p 1126
Мы удалили созданные двоичные файлы, и после этого они продолжают создавать с другими именами. Итак, в качестве слепого выстрела мы затем проверили файлы, связанные с cron, и в качестве попытки остановили cron, убили все подозрительные процессы и снова удалили двоичные файлы. Создание двоичного файла остановлено, и сейчас ничего не происходит.
Снова запустил cron, и все вернулось. Эта запись была удалена из / etc / crontab
, удалены все вновь созданные двоичные файлы, уничтожены все подозрительные процессы, и теперь все в порядке.
Я не уверен, как / etc / crontab
был отредактирован или /etc/cron.hourly/gcc.sh
был помещен туда. Парень, который мне помог, сказал, что, скорее всего, это произошло из-за того, что пользователь root мог быть как-то взломан. Я отключил аутентификацию root ssh
и сейчас использую только пользователя sudo
.