jrrx 最近的时间轴更新
jrrx

jrrx

V2EX 第 242693 号会员,加入于 2017-07-20 12:37:30 +08:00
jrrx 最近回复了
2019-02-22 18:03:30 +08:00
回复了 yuedingwangji 创建的主题 问与答 心累,服务器被黑了,有大佬帮忙分析下么
@Leonn 我也搜索了,但是我们告警的第一台主机,没有装 redis。
2019-02-22 18:02:38 +08:00
回复了 yuedingwangji 创建的主题 问与答 心累,服务器被黑了,有大佬帮忙分析下么
@hunterqg sh 脚本里面吗?怎么看出来的? 请帮你指出一下,谢谢。
2019-02-22 16:22:54 +08:00
回复了 yuedingwangji 创建的主题 问与答 心累,服务器被黑了,有大佬帮忙分析下么
有个问题,不清楚这个是如何入侵感染的。但是猜测是自己安装的 某些软件服务有漏洞,导致的。 大家清楚入侵步骤吗,或者利用的哪个漏洞?
2019-02-22 15:07:27 +08:00
回复了 yuedingwangji 创建的主题 问与答 心累,服务器被黑了,有大佬帮忙分析下么
步骤 2 的域名,你看一下 被感染的脚本,涉及的域名,全部屏蔽一下。
2019-02-22 15:06:11 +08:00
回复了 yuedingwangji 创建的主题 问与答 心累,服务器被黑了,有大佬帮忙分析下么
说明: 我是研发,不是专业安全人员,以下提供的信息和处理步骤,都是公司同事一起摸索的,供大家参考:

1. 涉及到的问题进程名称为: ksoftirqds, watchdogs,杀死这两个进程; //从阿里云进程监控看到的。
2. 屏蔽 thyrsi.com, pastebin.com, minerxmr.ru 三个域名;
3. 使用 @mingxulin 的命令,清空锁定 crontab, 防止再次被修改;
4. 去掉 watchdogs 的开机启动; //chkconfig --del watchdogs , 最好也检查下所有开机启动方式的设定。
3. 删除 watchdogs 文件: /etc/init.d 和 /usr/sbin/ 下面的 watchdogs 文件;
4. 删除 /etc/ld.so.preload 的内容; // 直接看不到这个文件, 直接 vi 这个文件,dd 删除内容,wq!强制保存退出,是可以删除内容的。
5. 删除 /usr/local/lib/libioset.so 文件; //步骤 4 完毕后,就可以进行步骤 5;
6. 重启主机,解除 crontab 锁定,观察一段时间。 // 如果 sh 命令还是处于感染状态,那么自己 找个 正常的 替换 。

供上面的同学参考.

@blubillow @Alfred328 @lifh1221

感谢 @yuedingwangji @mingxulin
2019-02-22 14:44:49 +08:00
回复了 yuedingwangji 创建的主题 问与答 心累,服务器被黑了,有大佬帮忙分析下么
@lifh1221 一会我告诉你怎么处理。我们刚处理完毕。
2019-02-21 12:27:10 +08:00
回复了 yuedingwangji 创建的主题 问与答 心累,服务器被黑了,有大佬帮忙分析下么
同遇到这个问题,也是昨晚。阿里云有监控,能看到一个进程 cpu 超高。
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2688 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 12ms · UTC 08:32 · PVG 16:32 · LAX 00:32 · JFK 03:32
Developed with CodeLauncher
♥ Do have faith in what you're doing.