Несанкционированный доступ к cron
Одним из потенциальных источников проблемы является то, что вы используете систему для запуска службы, но вместо файла модуля systemd вы используете старый сценарий SysVinit.
Это может означать, что вы используете старую версию MongoDB или что ваша новая версия MongoDB неправильно настроена.
Подтвердите, какую версию MongoDB вы используете, и проверьте, установлена ли /lib/systemd/system/mongod.serviceв вашей системе.
Переключение на использование юнит-файла systemd для управления службой может не решить проблему сбоя, но определенно упростит настройку и, возможно, упростит поиск и устранение оставшихся неполадок.
Вы не решили проблему.
- То, что вы нашли, может быть только верхушкой айсберга. Есть много способов скрыть вредоносное ПО. То, что вы могли легко увидеть, вполне может быть предназначено для того, чтобы убаюкать вас ложным чувством безопасности.
- Даже если вам удалось найти все вредоносные программы, пока вы не нашли и не заткнули дыру, через которую они проникли, они, скорее всего, появятся снова.
- Если у вас есть данные других людей (, включая, помимо прочего, частную идентифицирующую информацию, такую как адреса электронной почты, IP-адреса, истории покупок, журналы использования и т. д. ), вам необходимо уведомить этих людей о взломе и дайте им знать, каким образом их данные могут быть скомпрометированы. Это не просто хорошая идея, это закон во многих странах.
Вам необходимо отключить систему, выяснить, как проникло вредоносное ПО, и переустановить чистую копию с нуля.
Для получения дополнительной информации см. Что делать со скомпрометированным сервером? .
Это действительно похоже на довольно простую вредоносную программу. Он находится в каталогах с неопределенно правдоподобными названиями :
.ftpuser— это пользователь, который предположительно может существовать на некоторых серверах, структура которых застряла десять или два года назад. (Аутентифицированный FTP уже давно должен был быть заменен SSH, включая SFTP. Анонимный FTP был в значительной степени заменен HTTP (s ).).nullcacheскрыто в некоторых списках . «Nullcache» используется в разных контекстах; хотя я не знаю об инструменте, использующем каталог.nullcache, он достаточно правдоподобен, чтобы не выглядеть совершенно неуместным в списке каталогов.aptitude— это инструмент системного администрирования, который не был бы неуместен в списке процессов (для дистрибутивов, которые его используют, т. е. Debian и его производные ).sync— это стандартная утилита, но она обычно не работает долго, поэтому, хотя она неуместна в листинге процессов, она выглядит безобидно.updне является стандартным именем,но это выглядит безобидно, потому что похоже, что это сокращение от «обновление».anacronиcronявляются общими инструментами, и во многих системах есть каталоги с таким именем (в/var/spool).init0близко кinit.runсуществует в разных местах (/run,/var/run).stopредко используется в качестве имени каталога, но опять же не совсем неуместно./tmp/.X17-unixсовершенно неправдоподобно, но визуально похоже на/tmp/.X11-unix, который существует во всех системах, работающих под управлением X Window System (X11 ), на которой основана стандартная Unix, и многие люди не знают что число 11 является значимым.
Задания cron запускают различные двоичные файлы в этих смутно правдоподобных местах во время загрузки (@reboot), раз в неделю(5 8 * * 0)или примерно каждые три дня(0 0 */3 * *).