Как точно переместить файл, ничего не перезаписывая

Мне помогли решить эту проблему. В файле / etc / crontab была запись, как показано ниже, и именно сценарий вызвал проблему.

*/3 * * * * root /etc/cron.hourly/gcc.sh

Он выполнял некоторый двоичный (зашифрованный) файл, который был ответственен за создание двоичных файлов в / usr / bin с зашитыми именами, такими как ipjihmyzuh, fdmhhxthxy, fojoouuupy, fgqzvgtjan, bsitumzdkforc, cugwdsxyem. .

Позвольте мне вкратце объяснить, как мы это достигли.

Из netstat мне удалось получить PID для этого (в предыдущем случае это было 1126 / sh , но имя и PID остаются меняется).

С помощью lsof я смог увидеть двоичные файлы с указанными выше именами.

lsof -p 1126 

Мы удалили созданные двоичные файлы, и после этого они продолжают создавать с другими именами. Итак, в качестве слепого выстрела мы затем проверили файлы, связанные с cron, и в качестве попытки остановили cron, убили все подозрительные процессы и снова удалили двоичные файлы. Создание двоичного файла остановлено, и сейчас ничего не происходит.

Снова запустил cron, и все вернулось. Эта запись была удалена из / etc / crontab , удалены все вновь созданные двоичные файлы, уничтожены все подозрительные процессы, и теперь все в порядке.

Я не уверен, как / etc / crontab был отредактирован или /etc/cron.hourly/gcc.sh был помещен туда. Парень, который мне помог, сказал, что, скорее всего, это произошло из-за того, что пользователь root мог быть как-то взломан. Я отключил аутентификацию root ssh и сейчас использую только пользователя sudo .