内射女校花一区二区三区,久久久老熟女一区二区三区,国产精品美女久久久网站,亚洲成AV人片在

Board logo

標(biāo)題: [BUG反饋] 服務(wù)器被黑,大神們看看這個(gè)是哪個(gè)漏洞引起的呢? [打印本頁(yè)]
作者: 70898    時(shí)間: 2017-2-22 10:40     標(biāo)題: 服務(wù)器被黑,大神們看看這個(gè)是哪個(gè)漏洞引起的呢?

首先感謝WDCP的大神們,給我們提供這么好的工具。遇到問(wèn)題反饋出來(lái),才能讓W(xué)DCP越來(lái)越完善~~~
服務(wù)器環(huán)境:
阿里云   centos 6.8 64位  
安裝的是 lanmp_v3.1
服務(wù)器被黑,大神們看看這個(gè)是哪個(gè)漏洞引起的呢?也順便在這給大家提個(gè)醒~~~

QQ圖片20170222102914.png


QQ圖片20170222102956.png

QQ圖片20170222103004.png

圖片附件: QQ圖片20170222102914.png (2017-2-22 10:38, 23.29 KB) / 下載次數(shù) 6781
http://www.sdymsy.com/bbs/attachment.php?aid=7080&k=c70bfd9265ba5f2701f04a2de4b94ddd&t=1746126927&sid=1Z1z16



圖片附件: QQ圖片20170222102956.png (2017-2-22 10:38, 4.31 KB) / 下載次數(shù) 6723
http://www.sdymsy.com/bbs/attachment.php?aid=7081&k=54fbea69c266e4e90477738d353daa60&t=1746126927&sid=1Z1z16



圖片附件: QQ圖片20170222103004.png (2017-2-22 10:38, 12.82 KB) / 下載次數(shù) 6695
http://www.sdymsy.com/bbs/attachment.php?aid=7082&k=d21ccf7117e166b355815db3023906bc&t=1746126927&sid=1Z1z16

作者: Terabyte    時(shí)間: 2017-2-23 22:20

本帖最后由 Terabyte 于 2017-2-23 22:25 編輯

看起來(lái)似乎是中了比特幣挖礦的蠕蟲(chóng)/木馬。

看看是否安裝了Redis而沒(méi)有設(shè)置授權(quán)密碼且未限定訪問(wèn)IP, 因?yàn)镽edis的漏洞被入侵了, 和WDCP并無(wú)關(guān)系。

用top 和ps -aux查看一下進(jìn)程, 估計(jì)能看到例如 minerd,AnXqV, ddg.219/ddg.212之類(lèi)的進(jìn)程,猶如黑洞。
看看/opt下是否與minerd, 看看/tmp下是否有.zl, AnXqv, ddg之類(lèi)的異物文件,

看看/root/.ssh, /var/spool/cron下是不是有吸血螞蝗。
作者: linuxiver    時(shí)間: 2017-2-24 11:32

前天也一樣啊。被騰訊給斷網(wǎng)了
作者: Terabyte    時(shí)間: 2017-2-24 13:22

比較詳細(xì)的解決方法,轉(zhuǎn)載自:http://www.icnws.com/?p=189

1、關(guān)閉訪問(wèn)挖礦服務(wù)器的訪問(wèn):
iptables -A INPUT -s xmr.crypto-pool.fr -j DROP 和 iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP

2、找到minerd程序:
find / -name minerd*
發(fā)現(xiàn)程序在/opt下面,同時(shí)發(fā)現(xiàn)另外的一個(gè)異常文件
KHK75NEOiq33和minerd

3、去掉執(zhí)行權(quán)限
chmod -x KHK75NEOiq33 minerd

4、殺掉進(jìn)程,kill或pkill隨你喜歡
pkill minerd
pkill AnXqV

5、清除定時(shí)任務(wù):
systemctl stop crond

我們的系統(tǒng)因?yàn)闆](méi)有其他定時(shí)任務(wù),所以可以直接這樣,如果有需要自己手動(dòng)備份自己的定時(shí)任務(wù),然后清理掉其他的定時(shí)任務(wù),情景分析后處理

6、清除文件
除了opt下面的兩個(gè)異常文件需要清除,/tmp文件夾下也有文件需要清除,Aegis-<Guid(5A2C30A2-A87D-490A-9281-6765EDAD7CBA)>   AnXqV   ddg.217   ddg.218   ddg.219   duckduckgo.12.log   duckduckgo.17.log   duckduckgo.18.log   duckduckgo.19.log

這里的文件有個(gè)duckduckgo的,大約是翻墻用的搜索對(duì)應(yīng)的進(jìn)程有ddg.217/218/219

7、清除未知的授權(quán)
進(jìn)入 ~/.ssh/目錄,發(fā)現(xiàn)多個(gè)異常文件,包括authorized_keys、known_hosts等,需要移除authorized_keys中的未知授權(quán),這里可以看到有REDIS000…的授權(quán)key,我們自己沒(méi)有設(shè)置過(guò),所以直接刪除之

8、元兇分析
有說(shuō)是redis低版本存在的一個(gè)漏洞,有人利用這個(gè)漏洞提升權(quán)限,然后放置了挖礦工具,所以就將默認(rèn)的端口改了,密碼改了,重新啟動(dòng)了服務(wù),基本上能過(guò)一段時(shí)間了



歡迎光臨 WDlinux官方論壇 (http://www.sdymsy.com/bbs/) Powered by Discuz! 7.2