首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
V2EX  ›  Linux

Linux 云服务器中毒了

  •  
  •   Hanbuger · 138 天前 · 4094 次点击
    这是一个创建于 138 天前的主题,其中的信息可能已经有所发展或是发生改变。

    最近买的云服务器中毒了,起因是安装 redis 的时候默认安装,没有进行安全配置。过了一个晚上就被入侵了,好像是挖矿病毒。症状就是每天 1 点中会跑很多的定时任务,造成服务器内存溢出。定时任务会运行 ftpdns 和 ftphttp 两个文件,具体代码就不传播了。有遇到的麻烦提供一下解决方法。

    40 回复  |  直到 2019-04-10 11:28:26 +08:00
        1
    goodryb   138 天前
    有快照就回滚,没有就重装吧,以免后患
        2
    defunct9   138 天前   ♥ 1
    开 ssh,让我上去看看。
        3
    claysec   138 天前
    #1 +1
        4
    pynix   138 天前
    你干嘛把入网端口打开呢?
        5
    jjc27017   138 天前
    如果没有重要资料在上面就直接删掉重新安装系统就可以了,redis / mongo 这种全部按默认,然后暴露公网的最容易被搞
        6
    Hanbuger   138 天前
    @pynix 把 redis 安服务器上
        7
    Hanbuger   138 天前
    @jjc27017 改了用户名试试,不行就重装
        8
    javashell   138 天前 via Android
    猜测 redis 未授权导致的,看看定时任务和进程有没有挖矿程序运行
        9
    Hanbuger   138 天前
    @javashell 有定时任务,会从 https://pastebin.com/上 down 程序,每天一点运行
        10
    pynix   138 天前
    @Hanbuger 那也不要开公网端口啊,你还本地机器链接远程 redis ?你连接的时候没有想过不需要密码这件事?
        11
    Hanbuger   138 天前
    @pynix 之前都是在内网用 redis,在外网是第一次,不知道这个漏洞...
        12
    javashell   138 天前 via Android
    @Hanbuger 如果不是你设置的定时任务,先删掉定时任务在 kill 进程,关闭公网 redis 端口或设置密码再看看
        13
    1O   138 天前
    你这没啥损失重装就行了,以前我有一台机器中招了流量给我跑超了 2000 多块钱,钱被扣了才发现,肠子都悔青了。
        14
    Hanbuger   138 天前
    @javashell 定时任务删了,过一会又会有。redis 端口已经关了,还换了系统用户名。现在就是纳闷是在哪里生成的定时任务
        15
    Hanbuger   138 天前
    @1O 我还好,这是我个人的
        16
    javashell   138 天前 via Android
    @Hanbuger 进程一般有守护程序的
        17
    Hanbuger   138 天前
    @javashell 有办法找出来或者阻止吗
        18
    52coder   138 天前
    问题解决了吗,你指的 redis 默认安装存在问题,需要如何避免? 刚好最近在看 redis,我安装就是 make make install
        19
    luanluan   138 天前
    开 SSH 我来给你弄
        20
    wzaqqq   138 天前   ♥ 1
    重装吧,估计很多基础命令都被换了
        21
    wesall100200   138 天前
    @defunct9 哥们这句话好眼熟哈哈
        22
    huiyifyj   138 天前 via Android
    用着 win server2012 正常。
        23
    aulia   138 天前 via Android
    妥妥的 redis 开默认没密码
        24
    abc12524   138 天前
    让我康康!
        25
    jjc27017   138 天前
    最好是直接删了重开一个吧,那些脚本做了什么排查起来很耗时间的,改了底层的话你继续用又不知道。之后注意高危软件的配置就好了(不使用默认端口,账号密码认证登录,最好能指定源 ip 地址访问)
        26
    recall704   138 天前
    之前我的云服务器也中毒了,分析一波发现是挖矿的。

    skill -STOP 15753

    你可以通过上面这个命令,冻结进程,让后慢慢分析。
        27
    tomczhen   138 天前
    改本地 host 让脚本更新地址失效就好 :doge:
        28
    Jblue   138 天前
    我也遇到过,最好的方法还是重装。舍不得的话看看 redis 里面有没有奇怪的数据多出来,看看服务器上有没有多出用户。
        29
    jhsea3do   138 天前
    重装吧,保险点, 安全组只开 ssh / http(s)
        30
    lrh3321   138 天前 via Android
    重装保险点。以前也碰上过,后来 redis 就老老实实跑 docker 里了
        31
    cnzjl   138 天前
        32
    nickfan   138 天前
    公司老服务器中过同样的枪,给你个方案参考一下:

    1. 改 /etc/hosts 先屏蔽 pastebin.com
    2. 清理各个用户下的 crontab 中的自动下载脚本
    3. 用 ll -rt 在 /etc/init.d/下看一下最近添加的启动脚本
    4. 用 lsof -p 看内存中这些垃圾进程打开的文件句柄关联的文件,并清理之。
    5. 确认没问题,取消 pastebin.com 的屏蔽
    6. 重启过一段时间确认没有问题。
    done.
        33
    catalina   138 天前 via Android
    我都是开在 loopback 接口上,然后需要调试的时候直接 ssh 本地映射过来(这样在机器上看过去就是 localhost 连接到服务器上的)弄的。。。
        34
    bk201   138 天前
    这时候就体现容器化的好处了
        35
    hxz0803   138 天前
    我也中了这个病毒,crontab -l 的输出如下
    https://pastebin.com/pUdCnuT4
    大概看了下,base64 编码,作者邮箱(自称) [email protected]
        36
    mikeguan   137 天前 via Android
    1. 不用 root 启动 Redis
    2. 可以的话不用默认端口
    3. 开启授权认证,密码建议 32 位以上
        37
    akira   137 天前
    重新开一台 数据导过来以后 原来的直接废弃
        38
    linnil   137 天前
    很久没关注`redis`的挖矿木马了,解决方案参考:[对抗这种 rootkit 难度爆表,,回滚更划算,]( https://www.v2ex.com/t/537457?p=1)
        39
    Hanbuger   137 天前
    改了用户名,好像运行的代码里会判断用户名是否等于 root,过了一天发现定时任务里没有增加,再等等看好不好使
        40
    rootit   136 天前
    这种问题 直接回滚或重装系统,别想能清理干净 rootkit,别报一丝希望
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1727 人在线   最高记录 5043   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 30ms · UTC 16:27 · PVG 00:27 · LAX 09:27 · JFK 12:27
    ♥ Do have faith in what you're doing.