V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Ansen
V2EX  ›  Ubuntu

服务器被挂马

  •  
  •   Ansen · 2018-06-02 13:27:00 +08:00 · 5371 次点击
    这是一个创建于 2367 天前的主题,其中的信息可能已经有所发展或是发生改变。
    现网的 3 台 hadoop 服务器被挂马
    这是我找到的挂马脚本
    http://185.222.210.59/cr.sh
    但是没找出入口在哪里
    手工删除 crontab 任务后,会自动添加,感觉又一次执行了 上面那个脚本
    目前没找到是哪个进程执行的,也没有找到入侵的入口在哪里……
    目前是把 这个 ip 封禁掉,但是找不到守护进行 很不安心那

    tcp 和 udp 的监听端口检查过没有问题
    期间服务器已更换过外网 ip,禁止了 root 密码登陆,但是问题依旧,找不到那个守护进程

    ps aux
    链接: https://pan.baidu.com/s/1gV8z6eom2JQVnNuEddWQBA 密码: 4p9t
    14 条回复    2018-06-03 23:20:34 +08:00
    Devilker
        1
    Devilker  
       2018-06-02 13:36:47 +08:00
    把 YARN RM 的 8088 对外网开放了
    Devilker
        2
    Devilker  
       2018-06-02 13:37:59 +08:00   ❤️ 1
    参考文章 https://paper.seebug.org/611/
    很详细的
    Ansen
        3
    Ansen  
    OP
       2018-06-02 13:47:28 +08:00
    @Devilker #1 就是这个问题,非常感谢
    Devilker
        4
    Devilker  
       2018-06-02 13:51:31 +08:00
    @Ansen NO 3Q 哈~
    jeffson
        5
    jeffson  
       2018-06-02 14:14:34 +08:00
    Mark
    neocanable
        6
    neocanable  
       2018-06-02 14:49:52 +08:00
    找到相同 version 的 linux,把 /bin/ /sbin /usr/bin /usr/sbin 下的可执行文件都做下 md5 比较,如果不对,直接替换。
    曾经中过一个这样的 tail,替换了我的 cat/grep/tail/less/more,换回来就好了
    a7a2
        7
    a7a2  
       2018-06-02 15:01:04 +08:00
    把所有服务转移到新服务器并且请一个比你强的人去做

    一个精通运维安全的就是业务代码本身有后门也能根据业务规则做到最大安全免于被入侵、破坏

    从你问及找不着原因来就知道再自己搞也不太行 因为连第一入侵口都无找出来 再重新配置新服务器也一样
    Ansen
        8
    Ansen  
    OP
       2018-06-02 15:46:18 +08:00 via iPhone
    @neocanable 这些已经做了 发现完全 ok 才没想明白
    @a7a2 我对 hadoop 这块不怎么了解,所以没有去排查也不知道怎么查,而且先入为主的认为是密码泄漏
    Ansen
        9
    Ansen  
    OP
       2018-06-02 15:47:15 +08:00 via iPhone
    @a7a2 知道自己搞不出来,马上就来发帖了,😄
    loveminds
        10
    loveminds  
       2018-06-02 18:12:16 +08:00
    你的 Yarn 或者其他的一些没有 Authentication 的 API 应该是暴露在公网的
    ThirdFlame
        11
    ThirdFlame  
       2018-06-02 20:12:41 +08:00
    shell 执行后可能吧自己给删了。 也可能被 rootkit 了
    Ansen
        12
    Ansen  
    OP
       2018-06-02 20:23:07 +08:00 via iPhone
    @loveminds
    @ThirdFlame 就是一楼提到的问题
    loveminds
        13
    loveminds  
       2018-06-02 20:31:59 +08:00   ❤️ 1
    @Ansen 以后记得留意有没有暴露在公网的服务和接口,有些东西默认设置并没有验证和鉴权,像 Redis 也有类似的问题
    Greenm
        14
    Greenm  
       2018-06-03 23:20:34 +08:00 via iPhone
    最近 hadoop 被黑的人挺多的
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2909 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 12:18 · PVG 20:18 · LAX 04:18 · JFK 07:18
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.