我不知道这是否是我的服务器遭受的 shellshock 攻击(或其他有效的攻击)的影响,但它基本上使黑客能够在服务器重新启动时覆盖我的 SSH 配置文件。
这个新文件使用 wget 从网站加载文件,然后是另一个 hack 函数库,我猜他然后用它从我的服务器运行 hacks/DOS。我很快就抓住了它,理想情况下想要升级,但因为我患有癌症并且刚刚做了一次大手术,所以目前太费劲了。
因此,我做了很多家务,更改密码,删除 shell 访问,恢复到 DASH,用符号链接将 root 和任何其他用户的默认 shell 替换到另一个文件夹,恢复 SSH 的配置文件,从配置中删除 CGI 功能文件,例如
ScriptAlias /cgi-bin/ /home/searchmysite/cgi-bin/
#
允许所有人
#
删除了所有虚拟最小站点的 AW 统计数据和 Webalizer。
我已经安装了 DenyHosts 和 Fail2Ban。
我还阻止了他从中获取文件的站点的 IP 的入站/出站流量。
然而,自从这个改变以来,我似乎失去了 webmin 的视觉 cron 管理器。
当我进入菜单项“Scheduled Cron Jobs”时,它显示“找不到用于管理用户 Cron 配置的命令 crontab。也许这个系统上没有安装 Cron?”
但是我可以在文件系统中看到它存在。
当我运行 crontab -l 或 crontab -e 我得到“权限被拒绝”
whoami 显示“根”
我确实认为在黑客攻击时这一切都是相关的,他使用 SSH 和 Cron 作业来运行他的黑客攻击。
我想知道的是如何让 CronTab 经理回来。
所有的 cron 作业仍在运行,例如将提要导入我的网站、运行预定的电子邮件等等,我不知道如何在没有完全重建的情况下解决这个问题。
如果我有时间和精力,我会这样做,但我已经筋疲力尽了,在这次黑客攻击之前,一切都运行得很顺利,我的网站给我带来了钱也运行良好。
他们目前仍然工作正常,我会定期检查我的日志中是否有看起来很奇怪的 IP,对 xss/sql/path travesal/file hacks 有严格的 htacess 规则,并禁止整个国家/地区访问该站点所在的 Cloudflare。因此,即使机器很旧,我也不会“认为”该机器目前受到损害-尽管可能是错误的!
盒子细节
操作系统 Debian Linux 5.0 Virtualmin 版本 3.98.gpl GPL WebMin 版本:1.610 内核和 CPU Linux 2.6.32.9-rscloud on x86_64
因此,如果有人可以帮助我找回我的 crontab 管理器,那就太好了。
谢谢