[BUG反饋] 服務(wù)器被黑，大神們看看這個(gè)是哪個(gè)漏洞引起的呢？

70898

首先感謝WDCP的大神們，給我們提供這么好的工具。遇到問(wèn)題反饋出來(lái)，才能讓W(xué)DCP越來(lái)越完善~~~
服務(wù)器環(huán)境：
阿里云   centos 6.8 64位  
安裝的是 lanmp_v3.1
服務(wù)器被黑，大神們看看這個(gè)是哪個(gè)漏洞引起的呢？也順便在這給大家提個(gè)醒~~~

下載 (23.29 KB)

2017-2-22 10:38

下載 (4.31 KB)

2017-2-22 10:38

下載 (12.82 KB)

2017-2-22 10:38

Terabyte

看起來(lái)似乎是中了比特幣挖礦的蠕蟲(chóng)/木馬。

看看是否安裝了Redis而沒(méi)有設(shè)置授權(quán)密碼且未限定訪問(wèn)IP， 因?yàn)镽edis的漏洞被入侵了， 和WDCP并無(wú)關(guān)系。

用top 和ps -aux查看一下進(jìn)程， 估計(jì)能看到例如 minerd，AnXqV， ddg.219/ddg.212之類的進(jìn)程，猶如黑洞。
看看/opt下是否與minerd， 看看/tmp下是否有.zl, AnXqv, ddg之類的異物文件，

看看/root/.ssh, /var/spool/cron下是不是有吸血螞蝗。

linuxiver

前天也一樣啊。被騰訊給斷網(wǎng)了

Terabyte

比較詳細(xì)的解決方法，轉(zhuǎn)載自：http://www.icnws.com/?p=189

1、關(guān)閉訪問(wèn)挖礦服務(wù)器的訪問(wèn)：
iptables -A INPUT -s xmr.crypto-pool.fr -j DROP 和 iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP

2、找到minerd程序：
find / -name minerd*
發(fā)現(xiàn)程序在/opt下面，同時(shí)發(fā)現(xiàn)另外的一個(gè)異常文件
KHK75NEOiq33和minerd

3、去掉執(zhí)行權(quán)限
chmod -x KHK75NEOiq33 minerd

4、殺掉進(jìn)程，kill或pkill隨你喜歡
pkill minerd
pkill AnXqV

5、清除定時(shí)任務(wù)：
systemctl stop crond

我們的系統(tǒng)因?yàn)闆](méi)有其他定時(shí)任務(wù)，所以可以直接這樣，如果有需要自己手動(dòng)備份自己的定時(shí)任務(wù)，然后清理掉其他的定時(shí)任務(wù)，情景分析后處理

6、清除文件
除了opt下面的兩個(gè)異常文件需要清除，/tmp文件夾下也有文件需要清除，Aegis-<Guid(5A2C30A2-A87D-490A-9281-6765EDAD7CBA)>   AnXqV   ddg.217   ddg.218   ddg.219   duckduckgo.12.log   duckduckgo.17.log   duckduckgo.18.log   duckduckgo.19.log

這里的文件有個(gè)duckduckgo的，大約是翻墻用的搜索對(duì)應(yīng)的進(jìn)程有ddg.217/218/219

7、清除未知的授權(quán)
進(jìn)入 ~/.ssh/目錄，發(fā)現(xiàn)多個(gè)異常文件，包括authorized_keys、known_hosts等，需要移除authorized_keys中的未知授權(quán)，這里可以看到有REDIS000…的授權(quán)key，我們自己沒(méi)有設(shè)置過(guò)，所以直接刪除之

8、元兇分析
有說(shuō)是redis低版本存在的一個(gè)漏洞，有人利用這個(gè)漏洞提升權(quán)限，然后放置了挖礦工具，所以就將默認(rèn)的端口改了，密碼改了，重新啟動(dòng)了服務(wù)，基本上能過(guò)一段時(shí)間了