未授權訪問 cron

我今天早上被黑了！

有誰知道下面的 crontab 條目可能意味著什麼？

1st 他們創建了一個目錄結構

.rsync/
├── a
│   ├── a
│   ├── anacron
│   ├── cron
│   ├── init0
│   ├── run
│   └── stop

第二： 從以下位置執行此 cronjob：crontab -l

0 */3 * * /home/ftpuser/.nullcache/a/upd>/dev/null 2>&1
@reboot /home/ftpuser/.nullcache/a/upd>/dev/null 2>&1
5 8 * * 0 /home/ftpuser/.nullcache/b/sync>/dev/null 2>&1
@reboot /home/ftpuser/.nullcache/b/sync>/dev/null 2>&1
0 0 */3 * * /tmp/.X17-unix/.rsync/c/aptitude>/dev/null 2>&1

最後：以 100% 的速度執行我所有的 CPU，並從網路中吸走所有頻寬。

我殺死了所有相關的 PID 到 ftpuser，一切都恢復正常了

你還沒有解決問題。

1. 你發現的可能只是冰山一角。有很多方法可以隱藏惡意軟體。你很容易看到的東西很可能是為了讓你陷入一種虛假的安全感。
2. 即使您設法找到了所有惡意軟體，在您找到並堵住它曾經進入的漏洞之前，它也可能會重新出現。
3. 如果您有其他人的數據（包括但不限於私人身份資訊，例如電子郵件地址、IP 地址、購買歷史、使用日誌等），您需要通知這些人違規行為，並讓他們知道他們以何種方式數據可能會受到損害。這不僅是一個好主意，而且在許多地方都是法律。

你需要關閉系統，調查惡意軟體是如何進入的，然後從頭開始重新安裝一個乾淨的副本。

有關更多資訊，請參閱如何處理受損伺服器？.

---

這看起來確實像一些相當簡單的惡意軟體。它位於名稱模糊合理的目錄中：

• ftpuser是可能存在於結構在一兩年前停滯不前的某些伺服器上的使用者。（經過身份驗證的 FTP 早就應該被包括 SFTP 在內的 SSH 取代。匿名 FTP 幾乎已經被 HTTP(s) 取代了。）
• .nullcache隱藏在一些列表中。“Nullcache”在各種情況下都是一個東西；雖然我不知道使用.nullcache目錄的工具，但在目錄列表中看起來完全不合適是合理的。
• aptitude是一個系統管理工具，它不會在程序列表中不合適（在使用它的發行版上，即 Debian 和衍生產品上）。sync是一個標準實用程序，但通常不會長時間執行，因此雖然它在程序列表中不合適，但它看起來無害。upd不是標準名稱，但它看起來無害，因為它看起來像是“更新”的縮寫。
• anacron並且cron是常用工具，並且在許多系統上都有使用此名稱的目錄（在 中/var/spool）。init0接近init。Arun存在於不同的地方 ( /run, /var/run)。stop作為目錄名稱並不常見，但也並非完全不合適。
• /tmp/.X17-unix完全不可信，但在視覺上與所有執行標準 Unix 所基於的X Window System (X11)/tmp/.X11-unix的系統上存在的相似，而且許多人不知道數字 11 很重要。

@rebootcron 作業在啟動時 ( )、每週一次 ( 5 8 * * 0) 或大約每三天一次 ( )在這些模糊不清的位置執行各種二進製文件0 0 */3 * *。

引用自：https://unix.stackexchange.com/questions/542333