主页 / unix / 问题 / 567385
Accepted
Eduardo Lucio
Asked: 2020-02-14 06:05:42 +0800 CST

CentOS 7 恶意软件?- 用户“impress+”执行一个 CPU 消耗高的命令(“cron”)

  • 772

我的一台“CentOS 7”服务器表现出非常奇怪的行为。名为“ impress+ ”的用户执行名为“ cron ”的命令。这个“cron”命令执行时CPU 消耗很高

我担心,因为我怀疑它可能是恶意软件......

该服务器没有安装任何东西,只是运行“sshd”。

顶级输出!

问题:我可以做些什么来了解更多关于这个“impress+”用户和这个“cron”命令的信息?

谢谢!=D

centos security

1 个回答

  1. Best Answer

    不幸的是我的服务器被感染了... =\

    Chkrootkit 安全实用程序输出的一部分 ( http://www.chkrootkit.org/ )...

    注意:信息通过系统分析确认!

    [...]
Searching for Linux.Xor.DDoS ... INFECTED: Possible Malicious Linux.Xor.DDoS installed
/tmp/.X19-unix/.rsync/c/lib/64/libc.so.6
/tmp/.X19-unix/.rsync/c/lib/64/libpthread.so.0
/tmp/.X19-unix/.rsync/c/lib/64/tsm
/tmp/.X19-unix/.rsync/c/lib/32/libc.so.6
/tmp/.X19-unix/.rsync/c/lib/32/libpthread.so.0
/tmp/.X19-unix/.rsync/c/lib/32/tsm
/tmp/.X19-unix/.rsync/c/lib/arm/libc.so.6
/tmp/.X19-unix/.rsync/c/lib/arm/libpthread.so.0
/tmp/.X19-unix/.rsync/c/lib/arm/tsm
/tmp/.X19-unix/.rsync/c/slow
/tmp/.X19-unix/.rsync/c/tsm
/tmp/.X19-unix/.rsync/c/watchdog
/tmp/.X19-unix/.rsync/c/run
/tmp/.X19-unix/.rsync/c/go
/tmp/.X19-unix/.rsync/c/tsm32
/tmp/.X19-unix/.rsync/c/tsmv7
/tmp/.X19-unix/.rsync/c/start
/tmp/.X19-unix/.rsync/c/tsm64
/tmp/.X19-unix/.rsync/c/stop
/tmp/.X19-unix/.rsync/c/v
/tmp/.X19-unix/.rsync/c/golan
/tmp/.X19-unix/.rsync/c/dir.dir
/tmp/.X19-unix/.rsync/c/n
/tmp/.X19-unix/.rsync/c/aptitude
/tmp/.X19-unix/.rsync/init
/tmp/.X19-unix/.rsync/init2
/tmp/.X19-unix/.rsync/initall
/tmp/.X19-unix/.rsync/a/anacron
/tmp/.X19-unix/.rsync/a/run
/tmp/.X19-unix/.rsync/a/stop
/tmp/.X19-unix/.rsync/a/a
/tmp/.X19-unix/.rsync/a/cron
/tmp/.X19-unix/.rsync/a/init0
/tmp/.X19-unix/.rsync/b/run
/tmp/.X19-unix/.rsync/b/stop
/tmp/.X19-unix/.rsync/b/a
/tmp/.X19-unix/.rsync/1
/tmp/.X19-unix/.rsync/dir.dir
[...]

    采取的措施:摧毁受感染的服务器。在本地基础架构中更改“root”密码。更改能够以“root”身份运行的用户的密码。

    提示: Chkrootkit 由private_tux工具 ( https://github.com/eduardolucioac/private_tux ) 安装和配置。它安装和配置安全实用程序并自动执行各种安全诊断。

    披露:我是 private_tux 的作者。

    • -1

相关问题