第一次遇到这个,安全中心也给出了路径/var/tmp/java,但是到目录下也没找到程序,我是试用网页的功能隔离了进程,就想知道一般发生这种情况是不是服务器的 ssh 已被破解,我已经更换了密码,还需要做其他的动作吗,
第 1 条附言 · 9 天前
告警解释
这是一个对抗安全软件的告警:
告警类型是“精准防御”,说明已经被防御模块拦截。
进程启动了 wget 命令,试图从阿里云云盾的更新服务器下载一个卸载脚本 uninstall.sh 。
wget 命令通常不会出现在正常业务环境中,而是常用于下载和执行恶意脚本。
该脚本的作用是卸载云盾防护软件,这是典型的对抗安全防护软件的行为。
进程的父进程是 bash ,表明是在命令行环境中执行的。
告警原因明确指出是异常下载执行云盾卸载脚本。
综上,判断该行为是试图通过下载并执行脚本的方式,来卸载云盾等安全软件,以绕过安全防护。这种行为属于对抗安全软件的常见攻击手法。需要立即检查服务器是否已被入侵控制,同时加强安全防护措施,防止类似攻击再次发生。
这是一个对抗安全软件的告警:
告警类型是“精准防御”,说明已经被防御模块拦截。
进程启动了 wget 命令,试图从阿里云云盾的更新服务器下载一个卸载脚本 uninstall.sh 。
wget 命令通常不会出现在正常业务环境中,而是常用于下载和执行恶意脚本。
该脚本的作用是卸载云盾防护软件,这是典型的对抗安全防护软件的行为。
进程的父进程是 bash ,表明是在命令行环境中执行的。
告警原因明确指出是异常下载执行云盾卸载脚本。
综上,判断该行为是试图通过下载并执行脚本的方式,来卸载云盾等安全软件,以绕过安全防护。这种行为属于对抗安全软件的常见攻击手法。需要立即检查服务器是否已被入侵控制,同时加强安全防护措施,防止类似攻击再次发生。
 |
1
julyclyde 10 天前
格式化重装吧
|
 |
3
2Nfree 10 天前
建议 SSH 换成禁用密码登录使用密钥对登录,建议手动扫描一下目录看看有没有什么可疑文件,推荐用 rkhunter
一般来说不一定是你的 ssh 被破解,要看跑的什么服务,是不是有漏洞什么的,webshell 之类的 |
 |
5
mringg 10 天前
防火墙权限打开了,入站只保留业务必须的,ssh 限制入站 ip 。
生产环境感觉更应该备份数据,然后重装了。 |
 |
6
impdx 10 天前
找你们的安全团队,应急处置流程就行
|
 |
7
xiayun 9 天前
先把外网断了,出入口都得断开,防止下载脚本和对外攻击,第二就是找恶意文件了 这个看自己排查深度,很多挖坑脚本都会改名 隐藏自己,删干净之后 再做一下密码重置 漏洞修复啥的,然后恢复外网
|
 |
8
jaylee4869 9 天前
不能用了,换机器
|
 |
9
freaks OP @2Nfree 这个有可能,谢谢,我还收到了一个告警说:“服务器有可以程序 sysagent 开启了子 shell , 那个命令中有一个域名解析了一个 npm 页面”
|
 |
12
yinmin 9 天前
ecs 跑 linux ,最佳实践还是全 docker 部署:linux 到手后 SSH 改密钥登录/禁密码登录,开启 ufw 防火墙,安装 docker ,然后就是全部安装在 docker 里,万一被黑,容器 compose down 再 up 一下
|
 |
13
zqqian 9 天前
确实不能再用了,因为你根本无法保证清除干净
备份一下数据然后重装系统吧 |
 |
14
Mogamigawa 9 天前
日常,我以前用 vultr 搭建梯子,平均两周被挖矿病毒跑满,重装一次。
我不会搞些防病毒的东西,也懒得学。 每隔两周重装一次系统,就只装个梯子嘛,十几分钟就完成。 现在是买的机场,不知道现在 vultr 怎样了 |
|
15
impdx 9 天前
@freaks #10 东西太多了,应急处置的东西得看具体情况来,只是告警的话,麻烦把告警贴出来,挖矿最好拿出来样本扔沙箱看会出什么东西,有没有守护进程,创建了多少个有关联的文件。一般来说扔微步/安恒沙箱就行。最后去把这些有关进程全部 kill ,删掉有关文件。顺便看下日志的情况就可以大概知道从哪里进来的,机器日志和 java 的日志都要看,才能只能大概是什么路径进来的。你也可以自己拿漏扫干一下,能随便出现挖矿这种的,一般漏扫都可以直接干出 RCE 来,都不需要手工渗透
|
 |
16
q1102389095 9 天前
平台和百度都有方案啊
之前经历过一次跟着百度做完的,因为业务少进程也少,那个不是自己加的一眼就看出来了 https://www.alibabacloud.com/help/zh/security-center/use-cases/best-practices-for-handling-mining-programs |
|
17
freaks OP @q1102389095 感谢,我看看,那天使用隔离功能清理了,cpu 占用下来了,我再深入排查下,就是不知道是不是密码泄露了,还是程序漏洞
|
|
18
q1102389095 9 天前
@freaks 这种一般都是 ssh 批量弱口令爆破,很少有针对性的找某一个都是大批量的
|
|
19
freaks OP @q1102389095 #18
父进程关系: ```bash /usr/lib/systemd/systemd --switched-root --system --deserialize 22 /path/to/jar/sysagent -s illegal-domain:5555 -p Alphanumeric case /usr/bin/bash ``` 这个是不是要提权,先报有挖矿,后面就是这个对抗安全软件行为  |
|
20
q1102389095 9 天前
@freaks 放 ai 试试吧,最近出来的也应该是 ai 批量写的
|
Select Language