これが私のサーバーが犠牲になったシェルショック攻撃 (または機能した別の攻撃) の影響であったかどうかはわかりませんが、基本的に、サーバーの再起動時にハッカーが私の SSH 構成ファイルを上書きできるようにしました。
この新しいファイルは、wget を使用して Web サイトからファイルをロードした後、別のハック関数のライブラリを使用して、サーバーからハック/DOS を実行したと推測しました。私はそれをかなり早く見つけ、理想的にはアップグレードしたいと思っていますが、私は癌を患っており、大きな手術を受けたばかりなので、現時点ではあまりにも多くの努力をしています.
したがって、私は多くのハウスキーピング、パスワードの変更、シェル アクセスの削除、DASH への復帰、ルートおよび他のユーザーのデフォルト シェルのシンボリック リンク付きの別のフォルダーへの置き換え、SSH の構成ファイルの復元、構成からの CGI 機能の削除を行いました。ファイルなど
ScriptAlias /cgi-bin/ /home/searchmysite/cgi-bin/
#
すべてから許可する
#
すべての仮想最小サイトの AW 統計と Webalizer を削除しました。
DenyHosts と Fail2Ban は既にインストールされています。
また、彼がファイルを取得しているサイトの IP へのイン/アウトバウンド トラフィックをブロックしました。
ただし、この変更以降、webmin からビジュアル cron マネージャーが失われたようです。
メニュー項目「Scheduled Cron Jobs」に移動すると、「ユーザー Cron 構成を管理するためのコマンド crontab が見つかりませんでした。このシステムに Cron がインストールされていない可能性がありますか?」と表示されます。
ただし、ファイルシステムに存在することがわかります。
crontab -l または crontab -e を実行すると、「許可が拒否されました」というメッセージが表示されます
whoami は「ルート」を示します
ハッキングの時点で、これはすべて関連していると思いました。彼は SSH と Cron ジョブを使用してハッキングを実行していました。
私が知りたいのは、CronTab マネージャーを元に戻す方法です。
Web サイトへのフィードのインポート、スケジュールされた電子メールの実行など、すべての cron ジョブがまだ実行されていますが、完全な再構築なしでこれを解決する方法はわかりません。
時間とエネルギーがあればそうしますが、私は完全に疲れ果てており、このハッキングの前はすべてがスムーズに実行され、お金をもたらす私のウェブサイトは正常に機能していました.
それらは現在も問題なく動作しており、定期的にログをチェックして奇妙に見える IP を探し、xss/sql/path travesal/file ハッキングに対して強力な htacess ルールを適用し、サイトが背後にある Cloudflare から国全体を禁止しています。そのため、マシンが古いものであっても、現時点で侵害されているとは「考えていません」 - 間違っている可能性があります。
箱の詳細
オペレーティング システム Debian Linux 5.0 Virtualmin バージョン 3.98.gpl GPL WebMin バージョン: 1.610 カーネルおよび CPU Linux 2.6.32.9-rscloud on x86_64
誰かが私のcrontabマネージャーを取り戻すのを手伝ってくれるなら、それは素晴らしいことです.
ありがとう