Сервер взломан - cron продолжает работать

Question

Сервер взломан - cron продолжает работать

Кто-то получил доступ к моему EC2Ubuntu 14.04 и установил некоторые вредоносные cron сделать сканирование портов с пользователем eric, Я удалил пользователя eric и файл выполнен, но в syslog я вижу

Sep 19 15:27:01 ip-xxx CRON[9388]: Authentication failure
Sep 14 08:45:01 ip-xxx CRON[9389]: (eric) CMD (/var/tmp/.muh/y >/dev/null 2>&1)
Sep 19 15:28:01 ip-xxx CRON[9389]: Authentication failure
Sep 19 15:29:01 ip-xxx CRON[9391]: Authentication failure
Sep 19 15:30:01 ip-xxx CRON[9392]: Authentication failure
Sep 19 15:31:01 ip-xxx CRON[9526]: Authentication failure

Может кто-нибудь сказать мне, как найти cron установлены (crontab пустой)?

-5

syslog hacking

Источник

LucScu 19 сен '14 в 16:07

2 ответа

Решение

Попробуйте один (или два) из них:

chmod 000 /var/rmp/.muh/y (если вы хотите проанализировать позже)
mv /var/tmp/.muh/y /tmp (перейти в другое место)
rm /var/tmp/.muh/y (удалите это полностью)

тогда ты должен найти где в cron это запланировано и удалить его.

0

Источник

alexus 19 сен '14 в 16:20

Другие вопросы по тегам syslog hacking

LucScu 19 сен '14 в 16:48 2014-09-19 16:48 · Accepted Answer · 2014-09-19 16:48

Спасибо всем, дайте мне руку, чтобы решить мою проблему и поставить -1.

И реальное спасибо http://www.cyberciti.biz/faq/how-do-i-add-jobs-to-cron-under-linux-or-unix-oses/

/var/spool/cron/crontabs/
-rw------- 1   1002 crontab  222 Sep 10 19:13 eric
-rw------- 1 ubuntu crontab 1148 Aug 25 16:44 ubuntu

Взломанный аккаунт Эрика вставил в него crontab

* * * * * /var/tmp/.muh/y >/dev/null 2>&1

Теперь я могу это исправить:)