服务器被挂马

2018 年 6 月 2 日

Ansen

现网的 3 台 hadoop 服务器被挂马
这是我找到的挂马脚本
http://185.222.210.59/cr.sh
但是没找出入口在哪里
手工删除 crontab 任务后，会自动添加，感觉又一次执行了上面那个脚本
目前没找到是哪个进程执行的，也没有找到入侵的入口在哪里……
目前是把这个 ip 封禁掉，但是找不到守护进行很不安心那

tcp 和 udp 的监听端口检查过没有问题
期间服务器已更换过外网 ip，禁止了 root 密码登陆，但是问题依旧，找不到那个守护进程

ps aux
链接: https://pan.baidu.com/s/1gV8z6eom2JQVnNuEddWQBA 密码: 4p9t

5818 次点击

所在节点

Ubuntu

14 条回复

Devilker

2018 年 6 月 2 日

把 YARN RM 的 8088 对外网开放了

Devilker

2018 年 6 月 2 日

参考文章 https://paper.seebug.org/611/
很详细的

Ansen

2018 年 6 月 2 日

@Devilker #1 就是这个问题，非常感谢

Devilker

2018 年 6 月 2 日

@Ansen NO 3Q 哈~

jeffson

2018 年 6 月 2 日

Mark

neocanable

2018 年 6 月 2 日

找到相同 version 的 linux，把 /bin/ /sbin /usr/bin /usr/sbin 下的可执行文件都做下 md5 比较，如果不对，直接替换。
曾经中过一个这样的 tail，替换了我的 cat/grep/tail/less/more，换回来就好了

a7a2

2018 年 6 月 2 日

把所有服务转移到新服务器并且请一个比你强的人去做

一个精通运维安全的就是业务代码本身有后门也能根据业务规则做到最大安全免于被入侵、破坏

从你问及找不着原因来就知道再自己搞也不太行因为连第一入侵口都无找出来再重新配置新服务器也一样

Ansen

2018 年 6 月 2 日

@neocanable 这些已经做了发现完全 ok 才没想明白
@a7a2 我对 hadoop 这块不怎么了解，所以没有去排查也不知道怎么查，而且先入为主的认为是密码泄漏

Ansen

2018 年 6 月 2 日

@a7a2 知道自己搞不出来，马上就来发帖了，😄

loveminds

2018 年 6 月 2 日

你的 Yarn 或者其他的一些没有 Authentication 的 API 应该是暴露在公网的

ThirdFlame

2018 年 6 月 2 日

shell 执行后可能吧自己给删了。也可能被 rootkit 了

Ansen

2018 年 6 月 2 日

@loveminds
@ThirdFlame 就是一楼提到的问题

loveminds

2018 年 6 月 2 日

@Ansen 以后记得留意有没有暴露在公网的服务和接口，有些东西默认设置并没有验证和鉴权，像 Redis 也有类似的问题

Greenm

2018 年 6 月 3 日

最近 hadoop 被黑的人挺多的

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/459800

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.