首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
Hanbuger
V2EX  ›  Linux

Linux 云服务器中毒了

  •  
  •   Hanbuger · 284 天前 · 4739 次点击
    这是一个创建于 284 天前的主题,其中的信息可能已经有所发展或是发生改变。

    最近买的云服务器中毒了,起因是安装 redis 的时候默认安装,没有进行安全配置。过了一个晚上就被入侵了,好像是挖矿病毒。症状就是每天 1 点中会跑很多的定时任务,造成服务器内存溢出。定时任务会运行 ftpdns 和 ftphttp 两个文件,具体代码就不传播了。有遇到的麻烦提供一下解决方法。

    40 回复  |  直到 2019-04-10 11:28:26 +08:00
    goodryb
        1
    goodryb   284 天前
    有快照就回滚,没有就重装吧,以免后患
    defunct9
        2
    defunct9   284 天前   ♥ 1
    开 ssh,让我上去看看。
    claysec
        3
    claysec   284 天前
    #1 +1
    pynix
        4
    pynix   284 天前
    你干嘛把入网端口打开呢?
    jjc27017
        5
    jjc27017   284 天前
    如果没有重要资料在上面就直接删掉重新安装系统就可以了,redis / mongo 这种全部按默认,然后暴露公网的最容易被搞
    Hanbuger
        6
    Hanbuger   284 天前
    @pynix 把 redis 安服务器上
    Hanbuger
        7
    Hanbuger   284 天前
    @jjc27017 改了用户名试试,不行就重装
    javashell
        8
    javashell   284 天前 via Android
    猜测 redis 未授权导致的,看看定时任务和进程有没有挖矿程序运行
    Hanbuger
        9
    Hanbuger   284 天前
    @javashell 有定时任务,会从 https://pastebin.com/上 down 程序,每天一点运行
    pynix
        10
    pynix   284 天前
    @Hanbuger 那也不要开公网端口啊,你还本地机器链接远程 redis ?你连接的时候没有想过不需要密码这件事?
    Hanbuger
        11
    Hanbuger   284 天前
    @pynix 之前都是在内网用 redis,在外网是第一次,不知道这个漏洞...
    javashell
        12
    javashell   284 天前 via Android
    @Hanbuger 如果不是你设置的定时任务,先删掉定时任务在 kill 进程,关闭公网 redis 端口或设置密码再看看
    1O
        13
    1O   284 天前
    你这没啥损失重装就行了,以前我有一台机器中招了流量给我跑超了 2000 多块钱,钱被扣了才发现,肠子都悔青了。
    Hanbuger
        14
    Hanbuger   284 天前
    @javashell 定时任务删了,过一会又会有。redis 端口已经关了,还换了系统用户名。现在就是纳闷是在哪里生成的定时任务
    Hanbuger
        15
    Hanbuger   284 天前
    @1O 我还好,这是我个人的
    javashell
        16
    javashell   284 天前 via Android
    @Hanbuger 进程一般有守护程序的
    Hanbuger
        17
    Hanbuger   284 天前
    @javashell 有办法找出来或者阻止吗
    52coder
        18
    52coder   284 天前
    问题解决了吗,你指的 redis 默认安装存在问题,需要如何避免? 刚好最近在看 redis,我安装就是 make make install
    luanluan
        19
    luanluan   284 天前
    开 SSH 我来给你弄
    wzaqqq
        20
    wzaqqq   284 天前   ♥ 1
    重装吧,估计很多基础命令都被换了
    wesall100200
        21
    wesall100200   284 天前
    @defunct9 哥们这句话好眼熟哈哈
    huiyifyj
        22
    huiyifyj   284 天前 via Android
    用着 win server2012 正常。
    aulia
        23
    aulia   284 天前 via Android
    妥妥的 redis 开默认没密码
    abc12524
        24
    abc12524   284 天前
    让我康康!
    jjc27017
        25
    jjc27017   284 天前
    最好是直接删了重开一个吧,那些脚本做了什么排查起来很耗时间的,改了底层的话你继续用又不知道。之后注意高危软件的配置就好了(不使用默认端口,账号密码认证登录,最好能指定源 ip 地址访问)
    recall704
        26
    recall704   284 天前
    之前我的云服务器也中毒了,分析一波发现是挖矿的。

    skill -STOP 15753

    你可以通过上面这个命令,冻结进程,让后慢慢分析。
    tomczhen
        27
    tomczhen   284 天前
    改本地 host 让脚本更新地址失效就好 :doge:
    Jblue
        28
    Jblue   284 天前
    我也遇到过,最好的方法还是重装。舍不得的话看看 redis 里面有没有奇怪的数据多出来,看看服务器上有没有多出用户。
    jhsea3do
        29
    jhsea3do   284 天前
    重装吧,保险点, 安全组只开 ssh / http(s)
    lrh3321
        30
    lrh3321   284 天前 via Android
    重装保险点。以前也碰上过,后来 redis 就老老实实跑 docker 里了
    cnzjl
        31
    cnzjl   284 天前
    nickfan
        32
    nickfan   284 天前
    公司老服务器中过同样的枪,给你个方案参考一下:

    1. 改 /etc/hosts 先屏蔽 pastebin.com
    2. 清理各个用户下的 crontab 中的自动下载脚本
    3. 用 ll -rt 在 /etc/init.d/下看一下最近添加的启动脚本
    4. 用 lsof -p 看内存中这些垃圾进程打开的文件句柄关联的文件,并清理之。
    5. 确认没问题,取消 pastebin.com 的屏蔽
    6. 重启过一段时间确认没有问题。
    done.
    catalina
        33
    catalina   284 天前 via Android
    我都是开在 loopback 接口上,然后需要调试的时候直接 ssh 本地映射过来(这样在机器上看过去就是 localhost 连接到服务器上的)弄的。。。
    bk201
        34
    bk201   284 天前
    这时候就体现容器化的好处了
    hxz0803
        35
    hxz0803   284 天前
    我也中了这个病毒,crontab -l 的输出如下
    https://pastebin.com/pUdCnuT4
    大概看了下,base64 编码,作者邮箱(自称) [email protected]
    mikeguan
        36
    mikeguan   284 天前 via Android
    1. 不用 root 启动 Redis
    2. 可以的话不用默认端口
    3. 开启授权认证,密码建议 32 位以上
    akira
        37
    akira   284 天前
    重新开一台 数据导过来以后 原来的直接废弃
    linnil
        38
    linnil   283 天前
    很久没关注`redis`的挖矿木马了,解决方案参考:[对抗这种 rootkit 难度爆表,,回滚更划算,]( https://www.v2ex.com/t/537457?p=1)
    Hanbuger
        39
    Hanbuger   283 天前
    改了用户名,好像运行的代码里会判断用户名是否等于 root,过了一天发现定时任务里没有增加,再等等看好不好使
    rootit
        40
    rootit   282 天前
    这种问题 直接回滚或重装系统,别想能清理干净 rootkit,别报一丝希望
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1031 人在线   最高记录 5168   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 24ms · UTC 22:19 · PVG 06:19 · LAX 14:19 · JFK 17:19
    ♥ Do have faith in what you're doing.