我的Linux服务器受到了损害吗？我怎么说？_系统运维

概述参见英文答案 > How do I deal with a compromised server? 13个在路由器后面运行(X)Ubuntu 10.04.2 LTS. 我刚从该机器上的root帐户收到了一封电子邮件,主题如下： *** SECURITY information for <hostname>: 消息正文包含此警告参见英文答案 > How do I deal with a compromised server?13个
在路由器后面运行(X)Ubuntu 10.04.2 LTS.

我刚从该机器上的root帐户收到了一封电子邮件,主题如下：

*** Security information for <hostname>:

消息正文包含此警告：

<hostname> : jun 1 22:15:17 : <username> : 3 incorrect password attempts ; TTY=unkNown ; PWD=/ ; USER=root ; COMMAND=/bin/sh /tmp/tmpPHBmTO

我看不到/ tmp / tmpPHBmTO文件,虽然有一个名为/ tmp / tmpwoSrWW的文件,其时间戳可以追溯到2011-06-01 22:14,所以就在上述日期/时间之前.这是一个二进制文件,内容对我来说并不熟悉.此外,该文件只有-rw ——-权限.

当我读到它时,这意味着某人(或某物)已经(有)访问过我的机器.显然不是root访问权限(但仍然),至少足以将文件写入我的/ tmp目录.

有人指出我可以在哪里寻找更多信息：谁可以做到这一点,以及他们如何做到这一点？

我的路由器配置为允许访问SSH,http(Nginx充当其他几种服务之一的反向代理),SMTP,POP(后缀)和IMAP(dovecot)以及端口51413(传输)的转发流量.

解决方法我意识到问题已经过去两年了,但是如果有人像我一样通过Google来到这里：我看到了一个DropBox守护进程在一台没有运行任何服务器的服务器上运行非root帐户造成的行为X服务器.我设法在文件被删除之前复制它们.由于某种原因,守护程序想要重置其数据目录的权限(更不用说它甚至不需要root来执行此 *** 作)并终止某些进程.我只能推测为什么,也许它做了某种自动更新,并尝试重新加载自己或类似的东西.

文件/ tmp / tmpe1AGcd包含：

#!/bin/bashsudo -KZenity --entry --title="DropBox" --text="DropBox needs your permission to save settings to your computer.Type your linux password to allow DropBox to make changes." --entry-text "" --hIDe-text | sudo -S /bin/sh /tmp/tmpAH5mxLif [ "$?" != 0 ]; thenZenity --error --text="Sorry,wrong password"exit 1fi@H_403_34@

由于机器无头运行并且甚至没有安装二进制“Zenity”,因此sudo接收空密码尝试并在尝试执行/ tmp / tmpAH5mxL时失败,包含：

#!/bin/bashchown -R 1000 "/home/<username>/.dropBox"chmod -R u+rwX "/home/<username>/.dropBox"kill -s USR2 5364@H_403_34@

我得到的结果与您所做的相同：

<hostname> : Jul 4 16:32:24 : <username>: 3 incorrect password attempts ; TTY=unkNown ; PWD=/ ; USER=root ; COMMAND=/bin/sh /tmp/tmpAH5mxL@H_403_34@ 总结

以上是内存溢出为你收集整理的我的Linux服务器受到了损害吗？我怎么说？全部内容，希望文章能够帮你解决我的Linux服务器受到了损害吗？我怎么说？所遇到的程序开发问题。

如果觉得内存溢出网站内容还不错，欢迎将内存溢出网站推荐给程序员好友。

欢迎分享，转载请注明来源：内存溢出

原文地址: http://outofmemory.cn/yw/1042819.html