Home Sign Up Sign In
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
Sign Up Now
For Existing Member  Sign In
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
Hanbuger
V2EX  ›  Linux

Linux 云服务器中毒了

  •   
  •   Hanbuger ·
    hambuger · Apr 8, 2019 · 8360 views
    This topic created in 2578 days ago, the information mentioned may be changed or developed.

    最近买的云服务器中毒了,起因是安装 redis 的时候默认安装,没有进行安全配置。过了一个晚上就被入侵了,好像是挖矿病毒。症状就是每天 1 点中会跑很多的定时任务,造成服务器内存溢出。定时任务会运行 ftpdns 和 ftphttp 两个文件,具体代码就不传播了。有遇到的麻烦提供一下解决方法。

  • 服务器
  • 中毒
  • 定时
  • Redis
    40 replies    2019-04-10 11:28:26 +08:00
    goodryb
        1
    goodryb  
       Apr 8, 2019
    有快照就回滚,没有就重装吧,以免后患
    defunct9
        2
    defunct9  
       Apr 8, 2019   ❤️ 1
    开 ssh,让我上去看看。
    claysec
        3
    claysec  
       Apr 8, 2019
    #1 +1
    pynix
        4
    pynix  
       Apr 8, 2019
    你干嘛把入网端口打开呢?
    jjc27017
        5
    jjc27017  
       Apr 8, 2019
    如果没有重要资料在上面就直接删掉重新安装系统就可以了,redis / mongo 这种全部按默认,然后暴露公网的最容易被搞
    Hanbuger
        6
    Hanbuger  
    OP
       Apr 8, 2019
    @pynix 把 redis 安服务器上
    Hanbuger
        7
    Hanbuger  
    OP
       Apr 8, 2019
    @jjc27017 改了用户名试试,不行就重装
    javashell
        8
    javashell  
       Apr 8, 2019 via Android
    猜测 redis 未授权导致的,看看定时任务和进程有没有挖矿程序运行
    Hanbuger
        9
    Hanbuger  
    OP
       Apr 8, 2019
    @javashell 有定时任务,会从 https://pastebin.com/上 down 程序,每天一点运行
    pynix
        10
    pynix  
       Apr 8, 2019
    @Hanbuger 那也不要开公网端口啊,你还本地机器链接远程 redis ?你连接的时候没有想过不需要密码这件事?
    Hanbuger
        11
    Hanbuger  
    OP
       Apr 8, 2019
    @pynix 之前都是在内网用 redis,在外网是第一次,不知道这个漏洞...
    javashell
        12
    javashell  
       Apr 8, 2019 via Android
    @Hanbuger 如果不是你设置的定时任务,先删掉定时任务在 kill 进程,关闭公网 redis 端口或设置密码再看看
    1O
        13
    1O  
       Apr 8, 2019
    你这没啥损失重装就行了,以前我有一台机器中招了流量给我跑超了 2000 多块钱,钱被扣了才发现,肠子都悔青了。
    Hanbuger
        14
    Hanbuger  
    OP
       Apr 8, 2019
    @javashell 定时任务删了,过一会又会有。redis 端口已经关了,还换了系统用户名。现在就是纳闷是在哪里生成的定时任务
    Hanbuger
        15
    Hanbuger  
    OP
       Apr 8, 2019
    @1O 我还好,这是我个人的
    javashell
        16
    javashell  
       Apr 8, 2019 via Android
    @Hanbuger 进程一般有守护程序的
    Hanbuger
        17
    Hanbuger  
    OP
       Apr 8, 2019
    @javashell 有办法找出来或者阻止吗
    52coder
        18
    52coder  
       Apr 8, 2019
    问题解决了吗,你指的 redis 默认安装存在问题,需要如何避免? 刚好最近在看 redis,我安装就是 make make install
    luanluan
        19
    luanluan  
       Apr 8, 2019
    开 SSH 我来给你弄
    wzaqqq
        20
    wzaqqq  
       Apr 8, 2019   ❤️ 1
    重装吧,估计很多基础命令都被换了
    wesall100200
        21
    wesall100200  
       Apr 8, 2019
    @defunct9 哥们这句话好眼熟哈哈
    fengyj
        22
    fengyj  
       Apr 8, 2019 via Android
    用着 win server2012 正常。
    aulia
        23
    aulia  
       Apr 8, 2019 via Android
    妥妥的 redis 开默认没密码
    abc12524
        24
    abc12524  
       Apr 8, 2019
    让我康康!
    jjc27017
        25
    jjc27017  
       Apr 8, 2019
    最好是直接删了重开一个吧,那些脚本做了什么排查起来很耗时间的,改了底层的话你继续用又不知道。之后注意高危软件的配置就好了(不使用默认端口,账号密码认证登录,最好能指定源 ip 地址访问)
    recall704
        26
    recall704  
       Apr 8, 2019
    之前我的云服务器也中毒了,分析一波发现是挖矿的。

    skill -STOP 15753

    你可以通过上面这个命令,冻结进程,让后慢慢分析。
    tomczhen
        27
    tomczhen  
       Apr 8, 2019
    改本地 host 让脚本更新地址失效就好 :doge:
    Jblue
        28
    Jblue  
       Apr 8, 2019
    我也遇到过,最好的方法还是重装。舍不得的话看看 redis 里面有没有奇怪的数据多出来,看看服务器上有没有多出用户。
    jhsea3do
        29
    jhsea3do  
       Apr 8, 2019
    重装吧,保险点, 安全组只开 ssh / http(s)
    lrh3321
        30
    lrh3321  
       Apr 8, 2019 via Android
    重装保险点。以前也碰上过,后来 redis 就老老实实跑 docker 里了
    cnzjl
        31
    cnzjl  
       Apr 8, 2019
    @Hanbuger https://blog.csdn.net/rochenhack/article/details/85125232 <-不知道是不是
    nickfan
        32
    nickfan  
       Apr 8, 2019
    公司老服务器中过同样的枪,给你个方案参考一下:

    1. 改 /etc/hosts 先屏蔽 pastebin.com
    2. 清理各个用户下的 crontab 中的自动下载脚本
    3. 用 ll -rt 在 /etc/init.d/下看一下最近添加的启动脚本
    4. 用 lsof -p 看内存中这些垃圾进程打开的文件句柄关联的文件,并清理之。
    5. 确认没问题,取消 pastebin.com 的屏蔽
    6. 重启过一段时间确认没有问题。
    done.
    catalina
        33
    catalina  
       Apr 8, 2019 via Android
    我都是开在 loopback 接口上,然后需要调试的时候直接 ssh 本地映射过来(这样在机器上看过去就是 localhost 连接到服务器上的)弄的。。。
    bk201
        34
    bk201  
       Apr 8, 2019
    这时候就体现容器化的好处了
    hxz0803
        35
    hxz0803  
       Apr 8, 2019
    我也中了这个病毒,crontab -l 的输出如下
    https://pastebin.com/pUdCnuT4
    大概看了下,base64 编码,作者邮箱(自称) [email protected]
    mikeguan
        36
    mikeguan  
       Apr 9, 2019 via Android
    1. 不用 root 启动 Redis
    2. 可以的话不用默认端口
    3. 开启授权认证,密码建议 32 位以上
    akira
        37
    akira  
       Apr 9, 2019
    重新开一台 数据导过来以后 原来的直接废弃
    linnil
        38
    linnil  
       Apr 9, 2019
    很久没关注`redis`的挖矿木马了,解决方案参考:[对抗这种 rootkit 难度爆表,,回滚更划算,]( https://www.v2ex.com/t/537457?p=1)
    Hanbuger
        39
    Hanbuger  
    OP
       Apr 9, 2019
    改了用户名,好像运行的代码里会判断用户名是否等于 root,过了一天发现定时任务里没有增加,再等等看好不好使
    rootit
        40
    rootit  
       Apr 10, 2019
    这种问题 直接回滚或重装系统,别想能清理干净 rootkit,别报一丝希望
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   5326 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 89ms · UTC 03:27 · PVG 11:27 · LAX 20:27 · JFK 23:27
    ♥ Do have faith in what you're doing.