V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
MrVito
V2EX  ›  问与答

急,在线等,服务器被黑了

  •  
  •   MrVito · 2019-05-29 21:52:56 +08:00 · 5031 次点击
    这是一个创建于 2033 天前的主题,其中的信息可能已经有所发展或是发生改变。

    ftp://43.230.112.161/edominer
    看 history 记录,发现他从这个路径下载了一个文件,然后执行了,现在服务器上面有个挖矿的脚本占满了 cpu ……绝望,有没有大佬遇见过的,或者这位大佬如果在 v 站求放过,实在是解决不了了。
    在线乞讨大佬帮忙一下……或者指点一下思路。
    history 中发现这个脚本删除了 redis 的操作记录

    34 条回复    2019-05-30 16:33:21 +08:00
    Reficul
        1
    Reficul  
       2019-05-30 00:50:55 +08:00   ❤️ 4
    在线等老哥:“ ssh 密码,上去看看”


    正经回答就是备份 and 重装
    wwhc
        2
    wwhc  
       2019-05-30 00:55:57 +08:00
    不会又是 centos 吧
    Steven0125
        3
    Steven0125  
       2019-05-30 01:03:12 +08:00 via Android
    去年自用的腾讯云服务器,用了 redis,老被黑,然后没用 redis,发现正常了。
    数据那是找不回来了,毕竟 1 个比特币估计给了也是白给的。
    后来在阿里云买了一台服务器,跑同样的服务,暂时还没有被黑。
    kmahyyg
        4
    kmahyyg  
       2019-05-30 01:05:18 +08:00 via iPad
    [MALICIOUS REPLY REMOVED AND BANNED]
    kmahyyg
        5
    kmahyyg  
       2019-05-30 01:06:45 +08:00 via iPad   ❤️ 1
    [MALICIOUS REPLY REMOVED AND BANNED]
    Ultraman
        6
    Ultraman  
       2019-05-30 01:11:35 +08:00 via Android
    我们用排除法
    首先 sudo rm -rf / 可能没法完全清除掉它
    boris1993
        7
    boris1993  
       2019-05-30 01:18:11 +08:00 via Android   ❤️ 2
    备份数据,重装

    @Steven0125 #3 空密码或弱密码 Redis 暴露在公网就是找死,或者说,数据库就不应该暴露出来
    chinesestudio
        8
    chinesestudio  
       2019-05-30 01:26:39 +08:00 via Android
    要运维找我 单次或者长期 防火墙请配置好
    chinesestudio
        9
    chinesestudio  
       2019-05-30 01:28:28 +08:00 via Android
    @Steven0125 防火墙和 redis 没配置好 自然被黑
    msg7086
        10
    msg7086  
       2019-05-30 01:50:12 +08:00
    在线等?等什么?不重装系统难道还有第二条路?
    BCy66drFCvk1Ou87
        11
    BCy66drFCvk1Ou87  
       2019-05-30 07:19:05 +08:00 via Android
    开 ssh,让我上去看看
    vB4h3r2AS7wOYkY0
        12
    vB4h3r2AS7wOYkY0  
       2019-05-30 07:19:14 +08:00   ❤️ 11
    #4 #5
    @Livid 恶意混淆危险命令 rm -rf --no-preserve-root /*
    qilishasha
        13
    qilishasha  
       2019-05-30 08:06:07 +08:00   ❤️ 1
    根据运维部每次的报告来看,重装是最快的办法,用文件码比对就可以知道哪个类、文件被注入,然后逆向找原因。所以,当服务器配置好后的初次备份很重要。
    iiusky
        14
    iiusky  
       2019-05-30 08:08:08 +08:00 via Android
    @kmahyyg 你这样真的好吗
    yogogo
        15
    yogogo  
       2019-05-30 08:19:16 +08:00
    @Reficul 那老哥最近都没看到了_(:ェ 」∠)_怀念
    LongLights
        16
    LongLights  
       2019-05-30 08:34:25 +08:00 via Android
    备份数据 重装
    mahonejolla
        17
    mahonejolla  
       2019-05-30 08:39:08 +08:00
    麻痹,点开链接是个文件,赶快结束他。不敢造次。
    BrillianKnight
        18
    BrillianKnight  
       2019-05-30 08:45:54 +08:00   ❤️ 1
    #4 #5
    @Livid 恶意混淆危险命令 rm -rf --no-preserve-root /*
    lusi1990
        19
    lusi1990  
       2019-05-30 08:46:31 +08:00 via Android
    我也被黑过,当时技术水平有限,把某云骂了一遍 ,然后重装
    stanjia
        20
    stanjia  
       2019-05-30 08:48:10 +08:00
    @wwhc 又是 centos 怎么讲?? 想听这个故事
    nightcat
        21
    nightcat  
       2019-05-30 09:03:21 +08:00
    @kmahyyg NMSL
    lygmqkl
        22
    lygmqkl  
       2019-05-30 09:04:34 +08:00
    redis 的锅吧?
    nicevar
        23
    nicevar  
       2019-05-30 09:07:10 +08:00
    数据库一类的不要开启外网访问,ssh 安全配置加强一下
    hanxiV2EX
        24
    hanxiV2EX  
       2019-05-30 09:11:31 +08:00 via Android
    备份数据重新开个容器,比在线等快多了吧。
    mzlzero
        25
    mzlzero  
       2019-05-30 09:55:26 +08:00   ❤️ 1
    #4 #5
    @Livid 恶意混淆危险命令 rm -rf --no-preserve-root /*
    ScotGu
        26
    ScotGu  
       2019-05-30 10:04:21 +08:00
    @kmahyyg #4 这位也是 v2 老哥了,怎么能这样恶意的玩弄他人。
    w0nglend
        27
    w0nglend  
       2019-05-30 10:05:35 +08:00 via iPad   ❤️ 1
    #4 #5
    @Livid 恶意混淆危险命令 rm -rf --no-preserve-root /*
    w0nglend
        28
    w0nglend  
       2019-05-30 10:10:16 +08:00 via iPad
    安全 tips:
    redis 的端口用安全组 /iptables 加固;
    重命名 CONFIG, FLUSHALL, FLUSHDB 等危险操作,,加上密码;
    redis 使用单独用户,并使用 iptables 的 user 模块过滤此用户访问公网
    mentalidade
        29
    mentalidade  
       2019-05-30 10:20:19 +08:00   ❤️ 1
    @kmahyyg #4 @Livid 容易让搜到这个问题的误操作,建议屏蔽掉
    Constellation39
        30
    Constellation39  
       2019-05-30 10:42:32 +08:00
    @wwhc 同想
    hasdream
        31
    hasdream  
       2019-05-30 11:02:12 +08:00 via Android
    应用用二级用户。 安全组只开 80
    Livid
        32
    Livid  
    MOD
       2019-05-30 12:21:57 +08:00
    @MayKiller
    @mentalidade

    谢谢举报。那个账号,及其注册手机号,及其注册手机号所关联到的所有的其他小号,会被彻底 ban。

    那两条会引起危险误操作的回复会被屏蔽。
    Livid
        33
    Livid  
    MOD
       2019-05-30 12:24:56 +08:00
    根据邮箱找到的另外一个关联小号 @kmahyygyyg 也同时被彻底 ban。
    wlfeng
        34
    wlfeng  
       2019-05-30 16:33:21 +08:00
    ssh 不要使用密码登录啊,极度不安全
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2960 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 39ms · UTC 13:20 · PVG 21:20 · LAX 05:20 · JFK 08:20
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.