永久黄网站色视频免费直播,yy6080三理论日本中文,亚洲无码免费在线观看视频,欧美日韩精品一区二区在线播放

Board logo

標(biāo)題: [BUG反饋] 服務(wù)器被黑,大神們看看這個(gè)是哪個(gè)漏洞引起的呢? [打印本頁]
作者: 70898    時(shí)間: 2017-2-22 10:40     標(biāo)題: 服務(wù)器被黑,大神們看看這個(gè)是哪個(gè)漏洞引起的呢?

首先感謝WDCP的大神們,給我們提供這么好的工具。遇到問題反饋出來,才能讓W(xué)DCP越來越完善~~~
服務(wù)器環(huán)境:
阿里云   centos 6.8 64位  
安裝的是 lanmp_v3.1
服務(wù)器被黑,大神們看看這個(gè)是哪個(gè)漏洞引起的呢?也順便在這給大家提個(gè)醒~~~

QQ圖片20170222102914.png


QQ圖片20170222102956.png

QQ圖片20170222103004.png

圖片附件: QQ圖片20170222102914.png (2017-2-22 10:38, 23.29 KB) / 下載次數(shù) 6634
http://www.fsowen.com/bbs/attachment.php?aid=7080&k=97f234f5546e1d7b8882b90b42bb516e&t=1743894547&sid=6BZRo8



圖片附件: QQ圖片20170222102956.png (2017-2-22 10:38, 4.31 KB) / 下載次數(shù) 6586
http://www.fsowen.com/bbs/attachment.php?aid=7081&k=fbf541dc824913f8227c6d9e3ff1fe08&t=1743894547&sid=6BZRo8



圖片附件: QQ圖片20170222103004.png (2017-2-22 10:38, 12.82 KB) / 下載次數(shù) 6551
http://www.fsowen.com/bbs/attachment.php?aid=7082&k=b55dba17dc1832debb071499b0da6b7e&t=1743894547&sid=6BZRo8

作者: Terabyte    時(shí)間: 2017-2-23 22:20

本帖最后由 Terabyte 于 2017-2-23 22:25 編輯

看起來似乎是中了比特幣挖礦的蠕蟲/木馬。

看看是否安裝了Redis而沒有設(shè)置授權(quán)密碼且未限定訪問IP, 因?yàn)镽edis的漏洞被入侵了, 和WDCP并無關(guān)系。

用top 和ps -aux查看一下進(jìn)程, 估計(jì)能看到例如 minerd,AnXqV, ddg.219/ddg.212之類的進(jìn)程,猶如黑洞。
看看/opt下是否與minerd, 看看/tmp下是否有.zl, AnXqv, ddg之類的異物文件,

看看/root/.ssh, /var/spool/cron下是不是有吸血螞蝗。
作者: linuxiver    時(shí)間: 2017-2-24 11:32

前天也一樣啊。被騰訊給斷網(wǎng)了
作者: Terabyte    時(shí)間: 2017-2-24 13:22

比較詳細(xì)的解決方法,轉(zhuǎn)載自:http://www.icnws.com/?p=189

1、關(guān)閉訪問挖礦服務(wù)器的訪問:
iptables -A INPUT -s xmr.crypto-pool.fr -j DROP 和 iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP

2、找到minerd程序:
find / -name minerd*
發(fā)現(xiàn)程序在/opt下面,同時(shí)發(fā)現(xiàn)另外的一個(gè)異常文件
KHK75NEOiq33和minerd

3、去掉執(zhí)行權(quán)限
chmod -x KHK75NEOiq33 minerd

4、殺掉進(jìn)程,kill或pkill隨你喜歡
pkill minerd
pkill AnXqV

5、清除定時(shí)任務(wù):
systemctl stop crond

我們的系統(tǒng)因?yàn)闆]有其他定時(shí)任務(wù),所以可以直接這樣,如果有需要自己手動(dòng)備份自己的定時(shí)任務(wù),然后清理掉其他的定時(shí)任務(wù),情景分析后處理

6、清除文件
除了opt下面的兩個(gè)異常文件需要清除,/tmp文件夾下也有文件需要清除,Aegis-<Guid(5A2C30A2-A87D-490A-9281-6765EDAD7CBA)>   AnXqV   ddg.217   ddg.218   ddg.219   duckduckgo.12.log   duckduckgo.17.log   duckduckgo.18.log   duckduckgo.19.log

這里的文件有個(gè)duckduckgo的,大約是翻墻用的搜索對應(yīng)的進(jìn)程有ddg.217/218/219

7、清除未知的授權(quán)
進(jìn)入 ~/.ssh/目錄,發(fā)現(xiàn)多個(gè)異常文件,包括authorized_keys、known_hosts等,需要移除authorized_keys中的未知授權(quán),這里可以看到有REDIS000…的授權(quán)key,我們自己沒有設(shè)置過,所以直接刪除之

8、元兇分析
有說是redis低版本存在的一個(gè)漏洞,有人利用這個(gè)漏洞提升權(quán)限,然后放置了挖礦工具,所以就將默認(rèn)的端口改了,密碼改了,重新啟動(dòng)了服務(wù),基本上能過一段時(shí)間了



歡迎光臨 WDlinux官方論壇 (http://www.fsowen.com/bbs/) Powered by Discuz! 7.2