我在 /var/spool/cron/apache 發現裡面被放了後門程式
* /15 * * * * /var/tmp/SWakZsRJ > /dev/null 2>&1
它就是最近新聞提到的在 FreeBSD 上的寄垃圾信件程式,perl 包成 ELF 檔案,它的活動也已存在多年了
它在我這邊沒有效用,因為我 /tmp 有設定 noexec,所以無法被執行
而且我玩了一下它,但似乎 在 CentOS 上無法 work 吧,沒什麼動作,可能真得需要為 FreeBSD 系統吧
封包也只有這樣子
12:03:31.312208 IP 10.10.10.137.40576 > 163.81.54.194.static.server.ua.http: Flags [S], seq 1684999090, win 14600, options [mss 1460,sackOK,TS val 2827315391 ecr 0,nop,wscale 7], length 0 12:03:31.634882 IP 163.81.54.194.static.server.ua.http > 10.10.10.137.40576: Flags [R.], seq 0, ack 1684999091, win 0, length 0
IP 確實如同 惡意軟件Linux/Mumblehard分析 提到 194.54.xx 的範圍
上傳到 virustotal 也確實是病毒了
留言
Dear 謝謝您的抽空協助我今天會認真檢查一下,非常感謝您喔~
您好:我在伺服器也發現這個而且他不斷的產生,請問是否有辦法完整清除?
你可以 ps axjf 查看行程,你應該是沒有砍到 主行程,所以才會不斷產生,還有程式也要先行刪除(/tmp 下)、排程 (cron)