四虎影视在线影院在线观看,小s货再浪些再咬紧点h,国产精品水嫩水嫩,97精产国品一二三产区

Board logo

標題: [BUG反饋] 服務(wù)器被黑,大神們看看這個是哪個漏洞引起的呢? [打印本頁]
作者: 70898    時間: 2017-2-22 10:40     標題: 服務(wù)器被黑,大神們看看這個是哪個漏洞引起的呢?

首先感謝WDCP的大神們,給我們提供這么好的工具。遇到問題反饋出來,才能讓W(xué)DCP越來越完善~~~
服務(wù)器環(huán)境:
阿里云   centos 6.8 64位  
安裝的是 lanmp_v3.1
服務(wù)器被黑,大神們看看這個是哪個漏洞引起的呢?也順便在這給大家提個醒~~~

QQ圖片20170222102914.png


QQ圖片20170222102956.png

QQ圖片20170222103004.png

圖片附件: QQ圖片20170222102914.png (2017-2-22 10:38, 23.29 KB) / 下載次數(shù) 6665
http://cd-genova.com/bbs/attachment.php?aid=7080&k=003685b0940b08a3df33cac7c4d4545b&t=1744297485&sid=AJS9Jw



圖片附件: QQ圖片20170222102956.png (2017-2-22 10:38, 4.31 KB) / 下載次數(shù) 6618
http://cd-genova.com/bbs/attachment.php?aid=7081&k=f6768c9887a295a36e1d266297f3e424&t=1744297485&sid=AJS9Jw



圖片附件: QQ圖片20170222103004.png (2017-2-22 10:38, 12.82 KB) / 下載次數(shù) 6576
http://cd-genova.com/bbs/attachment.php?aid=7082&k=c474bea42c819db12f625ef9d6f64d64&t=1744297485&sid=AJS9Jw

作者: Terabyte    時間: 2017-2-23 22:20

本帖最后由 Terabyte 于 2017-2-23 22:25 編輯

看起來似乎是中了比特幣挖礦的蠕蟲/木馬。

看看是否安裝了Redis而沒有設(shè)置授權(quán)密碼且未限定訪問IP, 因為Redis的漏洞被入侵了, 和WDCP并無關(guān)系。

用top 和ps -aux查看一下進程, 估計能看到例如 minerd,AnXqV, ddg.219/ddg.212之類的進程,猶如黑洞。
看看/opt下是否與minerd, 看看/tmp下是否有.zl, AnXqv, ddg之類的異物文件,

看看/root/.ssh, /var/spool/cron下是不是有吸血螞蝗。
作者: linuxiver    時間: 2017-2-24 11:32

前天也一樣啊。被騰訊給斷網(wǎng)了
作者: Terabyte    時間: 2017-2-24 13:22

比較詳細的解決方法,轉(zhuǎn)載自:http://www.icnws.com/?p=189

1、關(guān)閉訪問挖礦服務(wù)器的訪問:
iptables -A INPUT -s xmr.crypto-pool.fr -j DROP 和 iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP

2、找到minerd程序:
find / -name minerd*
發(fā)現(xiàn)程序在/opt下面,同時發(fā)現(xiàn)另外的一個異常文件
KHK75NEOiq33和minerd

3、去掉執(zhí)行權(quán)限
chmod -x KHK75NEOiq33 minerd

4、殺掉進程,kill或pkill隨你喜歡
pkill minerd
pkill AnXqV

5、清除定時任務(wù):
systemctl stop crond

我們的系統(tǒng)因為沒有其他定時任務(wù),所以可以直接這樣,如果有需要自己手動備份自己的定時任務(wù),然后清理掉其他的定時任務(wù),情景分析后處理

6、清除文件
除了opt下面的兩個異常文件需要清除,/tmp文件夾下也有文件需要清除,Aegis-<Guid(5A2C30A2-A87D-490A-9281-6765EDAD7CBA)>   AnXqV   ddg.217   ddg.218   ddg.219   duckduckgo.12.log   duckduckgo.17.log   duckduckgo.18.log   duckduckgo.19.log

這里的文件有個duckduckgo的,大約是翻墻用的搜索對應(yīng)的進程有ddg.217/218/219

7、清除未知的授權(quán)
進入 ~/.ssh/目錄,發(fā)現(xiàn)多個異常文件,包括authorized_keys、known_hosts等,需要移除authorized_keys中的未知授權(quán),這里可以看到有REDIS000…的授權(quán)key,我們自己沒有設(shè)置過,所以直接刪除之

8、元兇分析
有說是redis低版本存在的一個漏洞,有人利用這個漏洞提升權(quán)限,然后放置了挖礦工具,所以就將默認的端口改了,密碼改了,重新啟動了服務(wù),基本上能過一段時間了



歡迎光臨 WDlinux官方論壇 (http://cd-genova.com/bbs/) Powered by Discuz! 7.2