这是一个创建于 1779 天前的主题,其中的信息可能已经有所发展或是发生改变。
按网上教程搞了几次了又重新出来了 crontab -l 也没发现啥
 |
1
sunziren 2020-01-11 09:17:25 +08:00
把服务器插头一拔。doge:
|
 |
2
TORYOI 2020-01-11 09:19:13 +08:00
切换到 www 用户再查看 crontab -l
|
|
5
TORYOI 2020-01-11 09:28:56 +08:00
如果网站还没关闭能访问,可能是网站程序有漏洞还没修复
用了框架的话查下是不是框架有安全漏洞要修复 |
 |
6
qwertyzzz OP @TORYOI 切换成 www 看到那个定时任务了。。我看说是 redis 的服务 我直接卸载了
https://blog.csdn.net/weiwoyonzhe/article/details/103727788 |
|
8
qwertyzzz OP @TORYOI 说 redis 的是这个
https://blog.csdn.net/weixin_43970890/article/details/103857487 目前暂时没问题了 多亏让切到 www 看 之前一直没找到 3q |
 |
12
oneisall8955 2020-01-11 10:05:38 +08:00 via Android
楼主解决了写一下,之前我的是很简单就解决的,看了下估计你的不简单
|
|
14
qwertyzzz OP @oneisall8955 @TORYOI 使用的宝塔面板,解决方法 基本和前面贴的链接一样 就是查看 crontab 的时候切 www 用户才看到那个的,然后 redis 我给卸载了 ,之后 php-fpm 和 mysql 因为好像也关联到了 也杀了进程 重启了 目前暂时没问题 不知道哪还会有
|
 |
15
zhaorunze 2020-01-11 10:24:43 +08:00
我也被搞了两次,一摸一样的进程名
|
 |
17
yuexuan 2020-01-11 10:27:20 +08:00
我们公司服务器也是,有个同事把 redis 用 0.0.0.0 启动的, 后面换成 127 了, 然后上了阿里的防火墙, 就好了
|
|
18
yuexuan 2020-01-11 10:28:35 +08:00
登录上去之后, 用 wegt 偷偷下载脚本,然后启动定时程序
|
 |
20
Msxx 2020-01-11 10:51:01 +08:00
我之前也有类似高负载经历,但按理说挖矿应该是 24 小时不停的。我那负载却是白天高,到了晚上 11 点-早上 8 点 9 点就闲下来了。而且不是 www,是 mysql 的占用。奇怪~
|
 |
21
WFMS 2020-01-11 10:52:46 +08:00
最近站内说被搞的都有一条前提项宝塔 是用户基数太大 还是真的有问题 我也在用 纯粹为了省事
|
 |
22
Guys 2020-01-11 10:59:09 +08:00
这种先把循环任务找到 用 pid 把占用多的进程先暂停 然后再弄 我之前遇到过两次
|
 |
23
yydcl 2020-01-11 11:13:18 +08:00 via Android
有快照的话,还原呗
|
 |
25
diaosi 2020-01-11 11:34:12 +08:00
看 web log,看看他是怎么拿到权限的。
redis 会在你 ssh 里写公钥,找找看有没有陌生的。 |
|
26
Guys 2020-01-11 12:15:20 +08:00  1
|
 |
27
jmi 2020-01-11 14:01:33 +08:00
我的也挨过,传送门 [SPAM LINK REMOVED]
|
 |
29
z775781 2020-01-11 15:03:02 +08:00
@yuexuan 改为 127 他也不安全,假设一个场景,有人拿到你 shell,内核比较新的话无法通过 exp 提权,那就只能通过服务提权了,如果恰好 redis 配置文件可读,就可以反弹 shell 直接连接你的 redis 提权了
|
 |
30
dream7758522 2020-01-11 16:29:24 +08:00 via iPhone 1
反其道而行之,我的服务器挺闲的,如何装个挖矿软件?赚赚零花钱。
|
 |
31
Dongxilemo 2020-01-11 16:32:48 +08:00 via Android
都是厉害的家伙
|
|
32
yuexuan 2020-01-11 16:40:05 +08:00
@dream7758522 云服务器内网扫描端口号? 查看别人服务器端口号漏洞?
|
 |
33
JoeoooLAI 2020-01-11 16:41:46 +08:00
最近好多人都发帖说被挖矿的搞了。。。。啊。。看来没人看得上我那单核的小鸡
|
 |
34
dallaslu 2020-01-11 16:56:07 +08:00
建议把服务迁走,这台就重置了吧。
|
|
35
dream7758522 2020-01-11 17:02:31 +08:00 via iPhone
@yuexuan 你没看懂我的意思,我意思是有没有第三方运营的合法挖矿软件,挖矿费用也好结算。然后给自己的机器装上,平常机器都闲着,赚点零花钱
|
 |
36
Mac 2020-01-11 17:02:45 +08:00 via Android
@WFMS 就图个方便而已,防火墙还是要上的。另外宝塔官网的运维太扯淡了,这周好像还把低版本的升级推送到高版本去。之前我有个 bug 的工单发官网论坛,被说成老 bug 早就修复了,结果过了几个月被挖出来还没修复。
|
 |
37
SingeeKing 2020-01-11 17:48:55 +08:00 1
|
 |
38
Livid MOD @SingeeKing 谢谢举报。那个 spam 账号已经被处理。
|
 |
39
SteveAlan 2020-01-11 18:40:20 +08:00 via iPhone
我的也被搞过,因为自己开发忘记把 redis 端口封闭
|
 |
41
dnsaq 2020-01-11 19:55:34 +08:00 via iPhone 1
都是蠕虫黑的,谁有空搞你。安全没做好要反省下自己了
|
 |
42
boronga 2020-01-11 20:23:50 +08:00 via Android
我是直接把用户删了
|
 |
43
jinliming2 2020-01-12 00:02:16 +08:00 via iPhone
能用 127.0.0.1 / ::1 就不要用 0.0.0.0 / ::
能用 unix sock 就不要用 127.0.0.1 / ::1,更不要用 0.0.0.0 / :: unix sock 权限尽可能低,尽可能限制用户访问 即便是没开公网访问,也要给各种服务配置强密码 |
 |
44
lancelot 2020-01-12 00:40:38 +08:00
这个是 xorddos 吧,手动清除很费劲,我是用专杀工具搞定的,记得是深信服研发的。清除后记得把 ssh 端口不要设置为 22。然后开防火墙。我 linode 中过几次招。高占用 CPU 的进程的名字是 10 个字母,随机的。
|
 |
45
lyzy 2020-01-12 05:00:13 +08:00 via iPhone
暂停进程 清理任务 删除生成文件 杀掉进程
|
 |
46
realpg 2020-01-12 13:36:27 +08:00
这种修它干啥 备份数据重装
另外,你需要解决的是你的漏洞,而不是找后门。 |
 |
47
CantSee 2020-01-20 17:31:46 +08:00
应该是没有用 crontab
|
Select Language