今天发现服务器变成了挖矿肉鸡
lianglianglee 2020-05-24 20:50:38 +08:00 5022 次点击这是一个创建于 1970 天前的主题,其中的信息可能已经有所发展或是发生改变。
今天登陆服务器,发现 CPU 一直 100%,发现 /var/tmp/bbb/bbb 占用了 99+的 CPU 。
kill 后,等 20 秒又启动了。
排查 corn
有三个任务在相互关联启动。
- 启动 bbb 的一个
- 一个启动 cron 的
- 一个 download cron 任务的。 这个设计厉害了
清理肉鸡程序
- 清除 cron
文件被保护,删不掉,用 chattr -ia 去掉保护,依然无法删除,有点棘手哦 直接删除 job 内容
- 删除 bbb
文件同样被保护
把入侵的入口清理一下
- 清除 ssh 免密的私钥
- 改 ssh 端口
又一个智障操作 端口改掉后,防火墙没改,连上了,艹。
又用阿里云的救援连接,开了防火墙
最后发现阿里云的网站提供的远程连接只支持 22 端口。改了端口无法用他们的网站连接服务器了,这。。。不是让人攻击吗?
 | 1 opengps 2020-05-24 20:58:03 +08:00 这情况其实挺常见的,至于渗透入口,分析不彻底没法下结论,毕竟进入一个房间并不一定只有门可以走,可能是窗户,可能是管道 你从阿里云网站后台使用 VNC 登录,效果等同于物理机连接显示器不需要使用 22 端口的,而不是使用哪个远程工具去远程连接,那样必然会经过防火墙被你的修改给拦住 |
 | 2 cy476571989 2020-05-24 21:04:12 +08:00 阿里云有对服务器的监控服务,可以设定报警规则:一旦 cpu 一段时间跑满 一定比例,比如:50% 就触发报警,它会提供短信通知,可以尝试一下。 |
 | 3 DonaidTrump 2020-05-24 21:10:03 +08:00 好奇这是怎么攻进去的呢 |
 | 4 Oceanhime 2020-05-24 21:15:07 +08:00 感觉问题不一定出在 SSH, 还有可能是业务相关漏洞。 不过利用漏洞的话, 没有运行 worldpress 之类的常见程序的话应该是针对性的攻击了 |
 | 5 nosmile 2020-05-24 21:18:16 +08:00 你找找有没有什么服务是弱口令或者默认配置,再看看你 ssh 是不是弱口令,最后用啊 D 查一下有没有 webshell 、查一下 web 日志等 |
 | 6 lianglianglee OP @tulongtou 大概看了一下,说是 redis 的漏洞导致的,我前段时间使用了 redis on docker 也许是那个时候进去的 |
| 7 lianglianglee OP @opengps 现在把端口能关的都关了,前段时间做测试,开了非常多的端口 |
| 8 lianglianglee OP @Oceanhime 可能是 docker ?我最近因为在搞 docker,开了 docker 的 tcp |
 | 9 renmu123 2020-05-24 21:34:48 +08:00 via Android MongoDB 和 Redis 开启公网访问默认都没有密码,其实建议还是直接重装系统,你知道在系统哪里还藏着奇怪的代码 |
| 10 lianglianglee OP 现在可疑的比较多,redis,docker socket,ssh 都有可能,现在把这些能关的都关了,不能关的改了端口,观察一段时间看看 |
| 11 lianglianglee OP @cy476571989 我这个是做各种玩具项目胡搞用的,没必要开告警 |
| 12 lianglianglee OP @renmu123 这些都有可能,已经关闭了,再观察两天 |
 | 13 hzqim 2020-05-24 21:46:17 +08:00 安装 fail2ban,禁止 root 登陆。 |
 | 14 realpg PRO 我猜你是 CENTOS |
| 15 lianglianglee OP @realpg 啧啧啧,大部分都是 centos 吧 |
| 16 lianglianglee OP @hzqim 让我搜搜是个啥 |
| 17 Oceanhime 2020-05-24 23:05:34 +08:00 @lianglianglee #10 做测试也不一定非要对外网暴露端口, 用代理连进内网就行。 |
 | 18 Jirajine 2020-05-24 23:21:40 +08:00 via Android redis 默认无密码加上 docker 端口映射暴露出导致被黑的光在本站就看到好多次了。 |
 | 19 chipuheado 2020-06-13 02:16:47 +08:00 一开始架设的时候就要做好防护。 装 DenyHosts,Fail2Ban 禁用 root 登录 设置无密码登录 修改 ssh 端口(阿里云不让改就搬家吧……) |
Select Language