[BUG反饋] 服務(wù)器被黑，大神們看看這個是哪個漏洞引起的呢？

70898

首先感謝WDCP的大神們，給我們提供這么好的工具。遇到問題反饋出來，才能讓W(xué)DCP越來越完善~~~
服務(wù)器環(huán)境：
阿里云   centos 6.8 64位  
安裝的是 lanmp_v3.1
服務(wù)器被黑，大神們看看這個是哪個漏洞引起的呢？也順便在這給大家提個醒~~~

下載 (23.29 KB)

2017-2-22 10:38

下載 (4.31 KB)

2017-2-22 10:38

下載 (12.82 KB)

2017-2-22 10:38

Terabyte

看起來似乎是中了比特幣挖礦的蠕蟲/木馬。

看看是否安裝了Redis而沒有設(shè)置授權(quán)密碼且未限定訪問IP， 因為Redis的漏洞被入侵了， 和WDCP并無關(guān)系。

用top 和ps -aux查看一下進(jìn)程， 估計能看到例如 minerd，AnXqV， ddg.219/ddg.212之類的進(jìn)程，猶如黑洞。
看看/opt下是否與minerd， 看看/tmp下是否有.zl, AnXqv, ddg之類的異物文件，

看看/root/.ssh, /var/spool/cron下是不是有吸血螞蝗。

linuxiver

前天也一樣啊。被騰訊給斷網(wǎng)了

Terabyte

比較詳細(xì)的解決方法，轉(zhuǎn)載自：http://www.icnws.com/?p=189

1、關(guān)閉訪問挖礦服務(wù)器的訪問：
iptables -A INPUT -s xmr.crypto-pool.fr -j DROP 和 iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP

2、找到minerd程序：
find / -name minerd*
發(fā)現(xiàn)程序在/opt下面，同時發(fā)現(xiàn)另外的一個異常文件
KHK75NEOiq33和minerd

3、去掉執(zhí)行權(quán)限
chmod -x KHK75NEOiq33 minerd

4、殺掉進(jìn)程，kill或pkill隨你喜歡
pkill minerd
pkill AnXqV

5、清除定時任務(wù)：
systemctl stop crond

我們的系統(tǒng)因為沒有其他定時任務(wù)，所以可以直接這樣，如果有需要自己手動備份自己的定時任務(wù)，然后清理掉其他的定時任務(wù)，情景分析后處理

6、清除文件
除了opt下面的兩個異常文件需要清除，/tmp文件夾下也有文件需要清除，Aegis-<Guid(5A2C30A2-A87D-490A-9281-6765EDAD7CBA)>   AnXqV   ddg.217   ddg.218   ddg.219   duckduckgo.12.log   duckduckgo.17.log   duckduckgo.18.log   duckduckgo.19.log

這里的文件有個duckduckgo的，大約是翻墻用的搜索對應(yīng)的進(jìn)程有ddg.217/218/219

7、清除未知的授權(quán)
進(jìn)入 ~/.ssh/目錄，發(fā)現(xiàn)多個異常文件，包括authorized_keys、known_hosts等，需要移除authorized_keys中的未知授權(quán)，這里可以看到有REDIS000…的授權(quán)key，我們自己沒有設(shè)置過，所以直接刪除之

8、元兇分析
有說是redis低版本存在的一個漏洞，有人利用這個漏洞提升權(quán)限，然后放置了挖礦工具，所以就將默認(rèn)的端口改了，密碼改了，重新啟動了服務(wù)，基本上能過一段時間了