首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
宝塔
V2EX  ›  问与答

急,在线等,服务器被黑了

  •  
  •   MrVito · 176 天前 · 3467 次点击
    这是一个创建于 176 天前的主题,其中的信息可能已经有所发展或是发生改变。

    ftp://43.230.112.161/edominer
    看 history 记录,发现他从这个路径下载了一个文件,然后执行了,现在服务器上面有个挖矿的脚本占满了 cpu ……绝望,有没有大佬遇见过的,或者这位大佬如果在 v 站求放过,实在是解决不了了。
    在线乞讨大佬帮忙一下……或者指点一下思路。
    history 中发现这个脚本删除了 redis 的操作记录

    34 回复  |  直到 2019-05-30 16:33:21 +08:00
        1
    Reficul   176 天前   ♥ 4
    在线等老哥:“ ssh 密码,上去看看”


    正经回答就是备份 and 重装
        2
    wwhc   176 天前
    不会又是 centos 吧
        3
    Steven0125   176 天前 via Android
    去年自用的腾讯云服务器,用了 redis,老被黑,然后没用 redis,发现正常了。
    数据那是找不回来了,毕竟 1 个比特币估计给了也是白给的。
    后来在阿里云买了一台服务器,跑同样的服务,暂时还没有被黑。
        4
    kmahyyg   176 天前 via iPad
    [MALICIOUS REPLY REMOVED AND BANNED]
        5
    kmahyyg   176 天前 via iPad   ♥ 1
    [MALICIOUS REPLY REMOVED AND BANNED]
        6
    vcinex   176 天前 via Android
    我们用排除法
    首先 sudo rm -rf / 可能没法完全清除掉它
        7
    boris1993   176 天前 via Android   ♥ 2
    备份数据,重装

    @Steven0125 #3 空密码或弱密码 Redis 暴露在公网就是找死,或者说,数据库就不应该暴露出来
        8
    chinesestudio   176 天前 via Android
    要运维找我 单次或者长期 防火墙请配置好
        9
    chinesestudio   176 天前 via Android
    @Steven0125 防火墙和 redis 没配置好 自然被黑
        10
    msg7086   176 天前
    在线等?等什么?不重装系统难道还有第二条路?
        11
    HuasLeung   176 天前 via Android
    开 ssh,让我上去看看
        12
    MayKiller   176 天前   ♥ 11
    #4 #5
    @Livid 恶意混淆危险命令 rm -rf --no-preserve-root /*
        13
    qilishasha   176 天前   ♥ 1
    根据运维部每次的报告来看,重装是最快的办法,用文件码比对就可以知道哪个类、文件被注入,然后逆向找原因。所以,当服务器配置好后的初次备份很重要。
        14
    iiusky   176 天前 via Android
    @kmahyyg 你这样真的好吗
        15
    yogogo   176 天前
    @Reficul 那老哥最近都没看到了_(:ェ 」∠)_怀念
        16
    LongLights   176 天前 via Android
    备份数据 重装
        17
    mahonejolla   176 天前
    麻痹,点开链接是个文件,赶快结束他。不敢造次。
        18
    BrillianKnight   176 天前   ♥ 1
    #4 #5
    @Livid 恶意混淆危险命令 rm -rf --no-preserve-root /*
        19
    lusi1990   176 天前 via Android
    我也被黑过,当时技术水平有限,把某云骂了一遍 ,然后重装
        20
    stanjia   176 天前
    @wwhc 又是 centos 怎么讲?? 想听这个故事
        21
    nightcat   176 天前
    @kmahyyg NMSL
        22
    lygmqkl   176 天前
    redis 的锅吧?
        23
    nicevar   176 天前
    数据库一类的不要开启外网访问,ssh 安全配置加强一下
        24
    hanxiV2EX   176 天前 via Android
    备份数据重新开个容器,比在线等快多了吧。
        25
    mzlzero   176 天前   ♥ 1
    #4 #5
    @Livid 恶意混淆危险命令 rm -rf --no-preserve-root /*
        26
    ScotGu   176 天前
    @kmahyyg #4 这位也是 v2 老哥了,怎么能这样恶意的玩弄他人。
        27
    w0nglend   176 天前 via iPad   ♥ 1
    #4 #5
    @Livid 恶意混淆危险命令 rm -rf --no-preserve-root /*
        28
    w0nglend   176 天前 via iPad
    安全 tips:
    redis 的端口用安全组 /iptables 加固;
    重命名 CONFIG, FLUSHALL, FLUSHDB 等危险操作,,加上密码;
    redis 使用单独用户,并使用 iptables 的 user 模块过滤此用户访问公网
        29
    mentalidade   176 天前   ♥ 1
    @kmahyyg #4 @Livid 容易让搜到这个问题的误操作,建议屏蔽掉
        30
    Constellation39   176 天前
    @wwhc 同想
        31
    hasdream   176 天前 via Android
    应用用二级用户。 安全组只开 80
        32
    Livid   V2EX Moderator   175 天前
    @MayKiller
    @mentalidade

    谢谢举报。那个账号,及其注册手机号,及其注册手机号所关联到的所有的其他小号,会被彻底 ban。

    那两条会引起危险误操作的回复会被屏蔽。
        33
    Livid   V2EX Moderator   175 天前
    根据邮箱找到的另外一个关联小号 @kmahyygyyg 也同时被彻底 ban。
        34
    wlfeng   175 天前
    ssh 不要使用密码登录啊,极度不安全
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   4235 人在线   最高记录 5043   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 35ms · UTC 03:14 · PVG 11:14 · LAX 19:14 · JFK 22:14
    ♥ Do have faith in what you're doing.