個人でサーバーを立てて管理している方々へ
最近サーバーの通信回線がやたらと切れたり、重かったりということはないですか?
このブログで書いているように、うちのサーバーが改竄されていることに気づきました。
おそらく、症状が出る数週間前に侵入されていたようでBashショックのパッチを当てた以降の脆弱性(Bashショックのパッチが不完全だったのかも?)を突かれたのではないかと思います。
もしも心当たりのある方は、一度以下の点をチェックしてほしいと思います。
1./etc/cron.hourly の下に cron.sh というスクリプトが存在しないか?
2./etc/rc.d/rc0.d ~ rc6.d いかに見覚えのないスクリプトが存在しないか?
うちの場合、iiquyuadzu と ljgpbsrjov というスクリプトがあり/bootの下の同名の実行ファイルを起動しようとする。
3./etc/udev/の下にudevという実行モジュールが存在しないか?
これは1.で起動されたcron.shから呼び出されている。
これが呼び出された後
http://kawamo55.blogspot.jp/2014/12/blog-post_11.html
で書いたような現象がおきネット付加が増える。
以上要注意点です。
0 件のコメント:
コメントを投稿