Centos
CentOS 7 惡意軟體?- 使用者“impress+”執行一個 CPU 消耗高的命令(“cron”)
我的一台“CentOS 7”伺服器表現出非常奇怪的行為。名為“ impress+ ”的使用者執行名為“ cron ”的命令。這個“cron”命令執行時CPU 消耗很高。
我擔心,因為我懷疑它可能是惡意軟體……
該伺服器沒有安裝任何東西,只是執行“sshd”。
**問題:**我可以做些什麼來了解更多關於這個“impress+”使用者和這個“cron”命令的資訊?
謝謝!=D
不幸的是我的伺服器被感染了… =\
Chkrootkit 安全實用程序輸出的一部分 ( http://www.chkrootkit.org/ )…
注意:資訊通過系統分析確認!
[...] Searching for Linux.Xor.DDoS ... INFECTED: Possible Malicious Linux.Xor.DDoS installed /tmp/.X19-unix/.rsync/c/lib/64/libc.so.6 /tmp/.X19-unix/.rsync/c/lib/64/libpthread.so.0 /tmp/.X19-unix/.rsync/c/lib/64/tsm /tmp/.X19-unix/.rsync/c/lib/32/libc.so.6 /tmp/.X19-unix/.rsync/c/lib/32/libpthread.so.0 /tmp/.X19-unix/.rsync/c/lib/32/tsm /tmp/.X19-unix/.rsync/c/lib/arm/libc.so.6 /tmp/.X19-unix/.rsync/c/lib/arm/libpthread.so.0 /tmp/.X19-unix/.rsync/c/lib/arm/tsm /tmp/.X19-unix/.rsync/c/slow /tmp/.X19-unix/.rsync/c/tsm /tmp/.X19-unix/.rsync/c/watchdog /tmp/.X19-unix/.rsync/c/run /tmp/.X19-unix/.rsync/c/go /tmp/.X19-unix/.rsync/c/tsm32 /tmp/.X19-unix/.rsync/c/tsmv7 /tmp/.X19-unix/.rsync/c/start /tmp/.X19-unix/.rsync/c/tsm64 /tmp/.X19-unix/.rsync/c/stop /tmp/.X19-unix/.rsync/c/v /tmp/.X19-unix/.rsync/c/golan /tmp/.X19-unix/.rsync/c/dir.dir /tmp/.X19-unix/.rsync/c/n /tmp/.X19-unix/.rsync/c/aptitude /tmp/.X19-unix/.rsync/init /tmp/.X19-unix/.rsync/init2 /tmp/.X19-unix/.rsync/initall /tmp/.X19-unix/.rsync/a/anacron /tmp/.X19-unix/.rsync/a/run /tmp/.X19-unix/.rsync/a/stop /tmp/.X19-unix/.rsync/a/a /tmp/.X19-unix/.rsync/a/cron /tmp/.X19-unix/.rsync/a/init0 /tmp/.X19-unix/.rsync/b/run /tmp/.X19-unix/.rsync/b/stop /tmp/.X19-unix/.rsync/b/a /tmp/.X19-unix/.rsync/1 /tmp/.X19-unix/.rsync/dir.dir [...]**採取的措施:**摧毀受感染的伺服器。在本地基礎架構中更改“root”密碼。更改能夠以“root”身份執行的使用者的密碼。
提示: Chkrootkit 由private_tux工具 ( https://github.com/eduardolucioac/private_tux ) 安裝和配置。它安裝和配置安全實用程序並自動執行各種安全診斷。
披露:我是 private_tux 的作者。