Security

奇怪的日誌條目和瘋狂的頻寬使用

  • January 17, 2012

我有一個用於測試的 CentOS 雲伺服器,並註意到在過去 30 天裡,頻寬超出了頂峰(準確地說是16,000 GB )

當我最初嘗試檢查伺服器時,它完全無法訪問(SSH、Web甚至控制台都沒有響應(控制台只顯示了一堆錯誤,沒有登錄提示)

我啟動了伺服器並開始瀏覽日誌和登錄資訊。多年來沒有 SSH 登錄,日誌中沒有什麼奇怪的,除了每分鐘:

Jan 17 02:20:01 wwwdev crond[21971]: (apache) CMD (/tmp/.../.shy/update >/dev/null 2>&1)
Jan 17 02:21:01 wwwdev crond[21976]: (apache) CMD (/tmp/.../.shy/update >/dev/null 2>&1)
Jan 17 02:22:01 wwwdev crond[21985]: (apache) CMD (/tmp/.../.shy/update >/dev/null 2>&1)
Jan 17 02:23:01 wwwdev crond[21990]: (apache) CMD (/tmp/.../.shy/update >/dev/null 2>&1)
Jan 17 02:24:01 wwwdev crond[22000]: (apache) CMD (/tmp/.../.shy/update >/dev/null 2>&1)
Jan 17 02:25:01 wwwdev crond[22006]: (apache) CMD (/tmp/.../.shy/update >/dev/null 2>&1)
Jan 17 02:26:01 wwwdev crond[22015]: (apache) CMD (/tmp/.../.shy/update >/dev/null 2>&1)
Jan 17 02:27:01 wwwdev crond[22024]: (apache) CMD (/tmp/.../.shy/update >/dev/null 2>&1)
Jan 17 02:28:01 wwwdev crond[22029]: (apache) CMD (/tmp/.../.shy/update >/dev/null 2>&1)
Jan 17 02:29:01 wwwdev crond[22034]: (apache) CMD (/tmp/.../.shy/update >/dev/null 2>&1)

自從我不得不重新啟動以來, /tmp 中的任何內容都早已不復存在,但我真的很想知道到底發生了什麼。

我不確定,但這個描述起來很像發送垃圾郵件的伺服器妥協。它也可能是一種蠕蟲病毒,它正在尋找更多的主機來入侵,但垃圾郵件聽起來更有可能。

如果您在SenderScoreSenderBase等電子郵件信譽網站上查找伺服器的 IP 地址,或者只是在 Google 中搜尋它,您可能會找到一些證據,甚至是垃圾郵件的範例。您還可以檢查DNS 黑名單以查看您的伺服器是否被列入黑名單。

cron 作業正在執行的使用者名表明妥協(如果是這樣的話)是通過您的網站發生的。您在 cron 作業開始前幾天的 Web 伺服器訪問和錯誤日誌將是開始查找的最佳位置。

差點忘記了My server’s been hacked EMERGENCY的強制連結。那裡有很多關於該做什麼和如何清理的好建議。不要忘記刪除或限制 phpMyAdmin。

引用自:https://serverfault.com/questions/350537