Crontabに身に覚えのないスクリプトが登録されていた。
お疲れ様です、ガツヲと申します。
DTIのserverman@VPSを利用して、Centos7環境でサーバを運用中です。
主な用途は、HTTPサーバと学習および研究用です。
数ヶ月ぶりに(ここがもうすでにダメなんですが)、メンテナンスを兼ねて
yum updateだったりログ確認、設定ファイルの見直しをしていた際に、
crontab を開いたら、身に覚えのないスクリプトが登録されておりました。
登録内容
[root@dti-vps-srv108 tmp]# crontab -l
*/10 * * * * /var/tmp/d726d3f9 >/dev/null 2>&1
*/10 * * * * /var/tmp/d726d3f95 >/dev/null 2>&1
また、登録先の/var/tmpにも、実行ファイルがありました。
・スクリーンショットでは、リネームしてパーミッションを変更しております。
ファイルの中身はこれから確認しますが、片方(ファイルサイズが大きいほう)は、
viewで開いたところ、バイナリでした。
教えたいただきたいのは、この得体のしれないファイルはなんなのかという事と、
なぜ登録されていたのか(ハッキングされた可能性があるのか)
の2点です。
Linuxの知識は、素人です。
以上、よろしくお願いします。
2020.09.14追記
tomoykさんに教えて頂いたサイトにて怪しいファイルをチェックかけてみたところ、やはりトロイが仕掛けられておりました。
アドバイスに従い、セキュリティ的にどこに穴があるのか確認して
塞ぐのを諦めVPSの機能でサーバ自体を初期化しました。
今後は、必要なセキュリティアップデートとマメなログ監視を行い運用していきたいと思います。
思わぬところから、怪しいものが見つかるもんですね・・・。
