奇怪的日誌條目和瘋狂的頻寬使用

我有一個用於測試的 CentOS 雲伺服器，並註意到在過去 30 天裡，頻寬超出了頂峰（準確地說是16,000 GB ）

當我最初嘗試檢查伺服器時，它完全無法訪問（SSH、Web甚至控制台都沒有響應（控制台只顯示了一堆錯誤，沒有登錄提示）

我啟動了伺服器並開始瀏覽日誌和登錄資訊。多年來沒有 SSH 登錄，日誌中沒有什麼奇怪的，除了每分鐘：

Jan 17 02:20:01 wwwdev crond[21971]: (apache) CMD (/tmp/.../.shy/update >/dev/null 2>&1)
Jan 17 02:21:01 wwwdev crond[21976]: (apache) CMD (/tmp/.../.shy/update >/dev/null 2>&1)
Jan 17 02:22:01 wwwdev crond[21985]: (apache) CMD (/tmp/.../.shy/update >/dev/null 2>&1)
Jan 17 02:23:01 wwwdev crond[21990]: (apache) CMD (/tmp/.../.shy/update >/dev/null 2>&1)
Jan 17 02:24:01 wwwdev crond[22000]: (apache) CMD (/tmp/.../.shy/update >/dev/null 2>&1)
Jan 17 02:25:01 wwwdev crond[22006]: (apache) CMD (/tmp/.../.shy/update >/dev/null 2>&1)
Jan 17 02:26:01 wwwdev crond[22015]: (apache) CMD (/tmp/.../.shy/update >/dev/null 2>&1)
Jan 17 02:27:01 wwwdev crond[22024]: (apache) CMD (/tmp/.../.shy/update >/dev/null 2>&1)
Jan 17 02:28:01 wwwdev crond[22029]: (apache) CMD (/tmp/.../.shy/update >/dev/null 2>&1)
Jan 17 02:29:01 wwwdev crond[22034]: (apache) CMD (/tmp/.../.shy/update >/dev/null 2>&1)

自從我不得不重新啟動以來， /tmp 中的任何內容都早已不復存在，但我真的很想知道到底發生了什麼。

我不確定，但這個描述聞起來很像發送垃圾郵件的伺服器妥協。它也可能是一種蠕蟲病毒，它正在尋找更多的主機來入侵，但垃圾郵件聽起來更有可能。

如果您在SenderScore或SenderBase等電子郵件信譽網站上查找伺服器的 IP 地址，或者只是在 Google 中搜尋它，您可能會找到一些證據，甚至是垃圾郵件的範例。您還可以檢查DNS 黑名單以查看您的伺服器是否被列入黑名單。

cron 作業正在執行的使用者名表明妥協（如果是這樣的話）是通過您的網站發生的。您在 cron 作業開始前幾天的 Web 伺服器訪問和錯誤日誌將是開始查找的最佳位置。

差點忘記了My server’s been hacked EMERGENCY的強制連結。那裡有很多關於該做什麼和如何清理的好建議。不要忘記刪除或限制 phpMyAdmin。

引用自：https://serverfault.com/questions/350537