Security
奇怪的日誌條目和瘋狂的頻寬使用
我有一個用於測試的 CentOS 雲伺服器,並註意到在過去 30 天裡,頻寬超出了頂峰(準確地說是16,000 GB )
當我最初嘗試檢查伺服器時,它完全無法訪問(SSH、Web甚至控制台都沒有響應(控制台只顯示了一堆錯誤,沒有登錄提示)
我啟動了伺服器並開始瀏覽日誌和登錄資訊。多年來沒有 SSH 登錄,日誌中沒有什麼奇怪的,除了每分鐘:
Jan 17 02:20:01 wwwdev crond[21971]: (apache) CMD (/tmp/.../.shy/update >/dev/null 2>&1) Jan 17 02:21:01 wwwdev crond[21976]: (apache) CMD (/tmp/.../.shy/update >/dev/null 2>&1) Jan 17 02:22:01 wwwdev crond[21985]: (apache) CMD (/tmp/.../.shy/update >/dev/null 2>&1) Jan 17 02:23:01 wwwdev crond[21990]: (apache) CMD (/tmp/.../.shy/update >/dev/null 2>&1) Jan 17 02:24:01 wwwdev crond[22000]: (apache) CMD (/tmp/.../.shy/update >/dev/null 2>&1) Jan 17 02:25:01 wwwdev crond[22006]: (apache) CMD (/tmp/.../.shy/update >/dev/null 2>&1) Jan 17 02:26:01 wwwdev crond[22015]: (apache) CMD (/tmp/.../.shy/update >/dev/null 2>&1) Jan 17 02:27:01 wwwdev crond[22024]: (apache) CMD (/tmp/.../.shy/update >/dev/null 2>&1) Jan 17 02:28:01 wwwdev crond[22029]: (apache) CMD (/tmp/.../.shy/update >/dev/null 2>&1) Jan 17 02:29:01 wwwdev crond[22034]: (apache) CMD (/tmp/.../.shy/update >/dev/null 2>&1)
自從我不得不重新啟動以來, /tmp 中的任何內容都早已不復存在,但我真的很想知道到底發生了什麼。
我不確定,但這個描述聞起來很像發送垃圾郵件的伺服器妥協。它也可能是一種蠕蟲病毒,它正在尋找更多的主機來入侵,但垃圾郵件聽起來更有可能。
如果您在SenderScore或SenderBase等電子郵件信譽網站上查找伺服器的 IP 地址,或者只是在 Google 中搜尋它,您可能會找到一些證據,甚至是垃圾郵件的範例。您還可以檢查DNS 黑名單以查看您的伺服器是否被列入黑名單。
cron 作業正在執行的使用者名表明妥協(如果是這樣的話)是通過您的網站發生的。您在 cron 作業開始前幾天的 Web 伺服器訪問和錯誤日誌將是開始查找的最佳位置。
差點忘記了My server’s been hacked EMERGENCY的強制連結。那裡有很多關於該做什麼和如何清理的好建議。不要忘記刪除或限制 phpMyAdmin。