在 /var/tmp/.aw 中安裝了 IPmech 的被黑伺服器每分鐘執行 cronjob，我如何確定我是如何被黑的

我在 Ubuntu 10.04.3 伺服器上的一個使用者帳戶被黑了，我不知道是怎麼回事。密碼很強大。我的使用者的 crontab 中安裝了一個 cronjob，該 crontab 在 /var/tmp/.aw 中執行和可執行

/var/tmp/.aw 目錄包含一組執行檔，其中包括一個名為 bash 的執行檔。

我檢查了我的 ~/.bash_history 並發現了一些非常可疑的東西。我在下面提供了相關的片段。

   w
   ls
   passwd
   cd /var/tmp
   w
   ls
   wget http://download.microsoft.com/download/win2000platform/SP/SP3/NT5/EN-US/W2Ksp3.exe
   w
   wget http://download.microsoft.com/download/win2000platform/SP/SP3/NT5/EN-US/W2Ksp3.exe
   w
   cat /prooc/cpuinfo
   cat /proc/cpuinfo
   exotr
   wq
   w
   exit
   w
   ls
   passwd
   cd /var/tmp
   ls
   wget http://download.microsoft.com/download/win2000platform/SP/SP3/NT5/EN-US/W2Ksp3.exe
   ls
   tar xzvf IPmech.tgz
   rm -rf IPmech.tgz
   cd .aw
   s
   ls
   ./autorun
   chmod +x *
   ./autorun
   ./start TKLL
   ls
   rm -rf m.ses
   ps x
   kill -9 4350
   ls
   ps x
   rm -rf m.ses
   kill -9  4460
   ls
   ps x
   w
   ls
   nano 192.168.0.100.user2
   rm -rf *seeN8
   ls
   rm -rf *see*
   ls
   nano m.set
   rm -rf m.ses
   ps x
   kill -9 4582
   ls
   ps x
   kill -9 4645
   rm -rf m.ses
   ls
   ps x
   kill -9 4693
   ls
   rm -rf m.ses
   ps x
   kill -9 4733
   rm -rf m.ses
   ps x
   kill -9 4757
   ls
   nano m.set
   rm -rf m.ses
   ps x
   kill -9 4800
   we
   w
   ls
   ps x
   kill -9 4878
   ls
   rm -rf m.ses
   ps x
   kill -9 4926
   ls
   w
   ps x
   ls
   kill -9 4964
   w
   exit
   w
   ls
   ps x
   cd /var/tmp
   w
   ls
   exit
   sudo su
   passwd
   ls
   ls -al
   ls .ssh/
   rm id_dsa.pub 
   touch .sudo_as_admin_successful 
   sudo su
   passwd
   it is
   sudo su
   w
   echo "yay :D" > /dev/pts/9
   echo "I take it it's working..." > /dev/pts/9
   w
   echo "Is this annoying???" > /dev/pts/9
   w
   exit

具體問題：

1. 什麼是外掛？我無法找到或找到它，也沒有人為它輸入
2. 什麼是 IPmech，Google搜尋產生了一堆討論陶瓷和陶瓷裂縫建模的東西。IPMech 似乎是力學問題研究所，是俄羅斯科學院的一部分。我不確定這是否合法。另外，我仍然不知道他們最初是如何進入帳戶的。日誌回溯的距離還不夠遠，無法查看與 bask 歷史記錄相對應的登錄嘗試。
3. 我已經完全刪除了 crontab（裡面沒有其他內容）並刪除了 /var/tmp/.aw，然後重新啟動了伺服器。我檢查了正在執行的程序是否有任何有趣的事情，並且一切看起來都是合法的。我已更改密碼。我是否也需要更改我的公鑰？
4. 我還可以/應該尋找什麼來幫助辨識入侵機制？

謝謝

不久前，我在 Security.SE 上寫了一個答案，其中包含找出他們如何進入的技術。這不是一個全面的答案，因為這樣的東西會填滿整本書。

它的要點是：“查看日誌；通過時間戳辨識可疑事物（文件、日誌條目）”。

在您的情況下，使用您必須找到他的 IP 地址（last -i或grep username /var/log/auth.log）的任何日誌，然後查看該 IP 地址的所有其他日誌（特別是 Web 伺服器日誌，如果您執行一個日誌）。搜尋所有日誌IPmech也可能很有用。如果你能找到他從哪裡得到的，你也許可以自己得到一份副本，看看它的作用。我的猜測（基於我自己的 Google 搜尋IPmech）是它正在執行一個開放代理。

exotr``exit對我來說看起來像是一個錯字。他用“o”代替“i”，用“tr”代替“t”。特別是因為他後來成功地輸入了“退出”兩個命令。

清理伺服器一切都很好，但即使“一切看起來都是合法的”，你也永遠無法確定。使用妥協之前的備份擦除和重新安裝是您可以確定的一種方式。請參閱My server’s been hacked EMERGENCY中的大量建議。無論如何，這樣做是一種很好的做法，因為在您從備份成功恢復之前，備份並不是真正的備份。

引用自：https://serverfault.com/questions/366419