web-dev-qa-db-ja.com

crontab -e、マルウェア感染後に許可が拒否されました

原因:マシンがredisマイニングワームに感染しました

ここに/root/.sshの下にあるいくつかのファイルがあります(非表示になっており、ls -laを使用して表示できます)。それらとその他の関連ファイルを削除します。今後は表示されないようにしてください。

これにより、次回はredisのアクセスパスワードを設定し、デフォルトのポートを変更する必要があります。


rootユーザーでジョブを設定しようとしています。crontab -eを実行し、何も編集せずに:wqと入力すると、次のエラーメッセージが表示されます。

/var/spool/cron/#tmp.VM_0_2_centos.XXXXDJlSfY: Permission denied.

enter image description here

chmod dir /var/spool/cron/を実行すると、Operation not permittedエラーが発生します。

enter image description here

/var/spool/cronの属性をリストします。これは不変です。

enter image description here

chattrを使用して変更しても、エラーは発生しませんが、何も変更されていません。

enter image description here

Cronieを再インストールしましたが、機能しません。それは今私を狂わせます、私はそれを修正するために他に何ができるか分かりません。誰かが私を助けてくれますか?

3
New Soul

コメントですでに述べたように、マルウェア感染後は、システムを常に完全に再セットアップする必要があります。つまり、新しいOSインストールです。

あなたの場合それは最悪のケースです:immutableフラグを変更するにはroot権限(またはそれに近いもの)が必要であり、rootアクセスを持つ攻撃者は、ルートキットのインストールやchattr修正版に対するバイナリ。通常、すべての変更を検索することは非常に困難であり、多大な労力を要します。

とにかく、Redisはrootとして実行しないでください。

1
Hauke Laging