私は中国の誰かからサイバー攻撃を受け、彼らはなんとか自分のUbuntu 14.04サーバーにYam(クリプトマイニング)をインストールできました。
私はなんとかパブリックIP経由でsshアクセスを閉じました。そして私は彼らが行ったダメージを直しました。まだ混乱している2つのことを除いて。
1-ルートから/etc/rc.localを編集できません。彼らはそこにroot権限を持つadduser 'setup'へのスクリプトを持っています。 rootが所有し、権限を持っているにもかかわらず、スクリプトを編集できません。許可が得られません。他のファイルを編集して、ファイルシステムが読み取り専用にならないようにすることができます。
2-ssh経由でログインするたびに、ウェルカムメッセージが表示され、次に「You have mail」に続いて、次のような多数の許可拒否エラーが表示されます。
You have mail.
find: `/var/log/speech-dispatcher': Permission denied
find: `/var/log/samba/cores': Permission denied
-bash: /var/log/Xorg.1.log.old: Permission denied
-bash: /var/log/Apache2/error.log.43.gz: Permission denied
-bash: /var/log/Apache2/error.log.14.gz: Permission denied
-bash: /var/log/Apache2/access.log.44.gz: Permission denied
-bash: /var/log/Apache2/error.log.13.gz: Permission denied
-bash: /var/log/Apache2/crm65.com-access_log: Permission denied
-bash: /var/log/Apache2/access.log.9.gz: Permission denied
-bash: /var/log/Apache2/error.log.36.gz: Permission denied
-bash: /var/log/Apache2/error.log.16.gz: Permission denied
-bash: /var/log/Apache2/error.log.11.gz: Permission denied
-bash: /var/log/Apache2/testcrm-error.log: Permission denied
-bash: /var/log/Apache2/error.log.46.gz: Permission denied
-bash: /var/log/Apache2/error.log.18.gz: Permission denied
-bash: /var/log/Apache2/access.log.45.gz: Permission denied
-bash: /var/log/Apache2/access.log.34.gz: Permission denied
-bash: /var/log/Apache2/vtigercrm-access.log: Permission denied
.
.
基本的に/ var/logディレクトリ全体を調べます。
そこで何が起こっているのかわかりません。
どんな助けでもありがたいです!
rc.localはハッカーによって不変に設定されました。
Chattrを使用してファイル属性を変更し、編集することができました。
ログイン時の許可拒否エラーに関しては、ハッカーはmotdスクリプトに行を挿入してログファイルを削除し、yamプログラムの痕跡を隠しました。これらの行を削除することで問題は解決しました。
私はそれが同様の問題を持つ人を助けることを願っています。このような問題を回避するために、ssh/iptablesを編集して、特定のIPのみがssh経由でログインできるようにすることをお勧めします。難しい方法を学びました。