之前跟着车队上了一波腾讯云的车,寥寥草草搭了个 workpress 就放那一直没动。昨晚半夜腾讯云发短信告知后台被人暴力破解(设置了个弱密码。。)而且 cpu 飙到了 100%。 今天上去看了下,有个进程占了 80%以上的 cpu、内存和带宽,其中里面用到了‘ yiluzhuanqian.com ’这个网址,如下图。
进去了这个文件的目录,卧槽,直接找到了压缩包
初步感觉是破解放脚本都是自动化的,MLGB,准备换系统了
文件链接感兴趣的大佬可以分析分析
1
marcosteam 2018-05-22 15:09:51 +08:00 via Android
一路赚钱是 17ce 搞的
|
2
opengps 2018-05-22 15:13:07 +08:00
使用这种成品框架经常遇到这类问题,除非你及时跟上漏洞补丁,跟换系统没直接关系
|
3
defunct9 2018-05-22 15:15:27 +08:00
一路赚钱么
|
4
leafleave 2018-05-22 15:20:57 +08:00 via iPhone 1
我的是 WINDOWS 机器,也被放过,不过那个人的脚本写的好像有问题, 缺少一个依赖,然后那个脚本不停的报错,很搞笑
|
6
jimmyczm OP @marcosteam 他这个是干嘛的,挖矿?
|
7
lsyk 2018-05-22 15:24:00 +08:00
ssh 别用默认端口 禁止 root 用户 ssh 登录。
|
10
defunct9 2018-05-22 15:52:11 +08:00
开 ssh,让我上去挖,哈哈。
|
11
y10210118 2018-05-22 16:41:11 +08:00
楼主可以考虑采取如下措施,避免和预防对入侵事件:
1.服务器设置大写、小写、特殊字符、数字组成的 12-16 位的复杂密码 2.数据库如果不需要远程,请不要开启远程 3.如有 redis 请设置密码,如 redis 不需要远程,请不要开启远程 4.安全组设置只放行业务协议和端口,不建议放行所有协议所有端口,这样太危险 5.如果业务有用到 mysql 数据库,建议用跟云服务器同账号同地区的云数据库,首先同账号同地区的云数据库和云服务器内网互通,安全有保障,其次显著降低了服务器负载压力,另外,云数据库有自动备份功能(可以回档到 3 天之内任意时刻) 。 6.操作系统防火墙也不是摆设,必要的时候开启下防火墙做些安全规则,别安全组不设置防火墙也不设置,这样就太危险了 7. 也可以参考官方的入侵类问题排查思路进行排查处理: https://cloud.tencent.com/document/product/296/9604 |
12
chenuu 2018-05-22 16:58:12 +08:00
门罗币,有个挖矿工具叫 xmrig
|
14
wr410 2018-05-22 17:06:44 +08:00
不要用什么一键安装包 也不要用那些成品的东西
最好自己动手安装搭建 至于密码爆破嘛,还是有可能的,只是我的密码 6 位纯数字,一年下来 auth 日志都几百 M 了都没看到有成功穷举的,真是醉了。 |
17
Lentin 2018-05-22 18:09:44 +08:00 via iPhone
换 key 验证解千愁,何必死在密码上呢
|
18
omph 2018-05-22 18:46:15 +08:00
入了一波,已关机,试问谁能攻破?
|
19
wweir 2018-05-23 07:31:31 +08:00 via Android
禁用 ssh 密码登录,停用非必要服务,比如:“ workpress ”
之前我的机器也被暴力破解过,现在懒得看相应的审计日志了,反正没人对我的小机会有特别关注,批量的手法也没法破 |
20
GeforceGTX 2018-05-23 09:08:25 +08:00
我阿里云的 SSH 端口用安全组设置的仅我个人 IP 可以访问,不知道有没有防范作用!
|