这是一个创建于 2434 天前的主题,其中的信息可能已经有所发展或是发生改变。
看论坛,最近阿里云的机器好热闹,好多机器被黑,而且攻击者都很明显的在 crontab 中添加定时任务,我们的机器也是被黑了,攻击者下载的病毒的域名都是 pastebin.com ,而且几乎都是一致的,出现这种情况,有没有可能是阿里云的机器有某些漏洞?抑或是某些友商恶意攻击阿里云机器? 我们也中招了 t/537087#reply6 昨天自己在虚拟环境运行病毒,发现这货好强大,运行后,所有外部命令都被感染,ldd /usr/bin/ls 可以看到该软件依赖的库文件多了一个 libioset.so 的文件,该文件指向内存中的某个地址,其他所有命令几乎一样,程序会在 /etc/init.d 下生成 netconsole,function,watchdogs, ilogtail networks, 而且 ls 所依赖的 core-uitl 包也已被卸载,gblic 也被卸载,对应的核心库文件 libso-2.17.so 文件也被替换过, 对比过文件不一致,目前来看,大部分系统库文件都被替换了。
有一些机器直接关闭 watchdogs, ilogtail 就可以了,但有些不行, 我手动替换了一些被替换了核心库文件,rm -rf /etc/ls.so.cache LD_PRELOAD 重新指向新的核心库, 但查看后发现所有命令还是依赖 libioset.so 这个库, 感觉这病毒还挺厉害的,搞不定,撤了,准备重装系统了
 | 1 msg7086 2019-02-22 04:09:02 +08:00 Linux 服务器被黑唯一的出路就是重装系统。 难道你还想着能不重装系统解决问题? |
 | 2 Alfred328 2019-02-22 08:56:15 +08:00 知道是什么原因或漏洞导致的吗 |
 | 3 shoaly 2019-02-22 09:36:44 +08:00 阿里云 只是买服务器的, 系统都是你自己装的.... 这个漏洞阿里云 不背 |
 | 4 kernel 2019-02-22 09:40:49 +08:00 被黑前开了哪些端口? |
 | 5 cojing 2019-02-22 09:42:26 +08:00 百分之 80 都是 docker redis weblogic thinkphp5 S2 或者 弱口令 进来的,建议端口只开必须的几个,22 3306 这种能爆破的做白名单,其他开放端口检查用了哪些服务或应用或组件,查一查时候有漏洞,打最新的补丁 |
 | 6 janes 2019-02-26 10:40:58 +08:00 装 busybox 清理妥妥的,分析可以参考: https://mp.weixin.qq.com/s/3V0HVEREZWU8SkRWLspaxg |
Select Language