美文网首页
Aliyun服务被沦为了挖矿机

Aliyun服务被沦为了挖矿机

作者: 走在成长的道路上 | 来源:发表于2017-10-16 16:02 被阅读0次

    今天,公司服务器被发现有异常进程,总是出现进程被杀掉。后来发现有些异常进程异常活跃。想着平时对linux服务器还算是比较了解的前提下,试试趟这趟浑水。

    首先干掉进程,发现过段时间它又会起来,这时候想到 cron 定时任务,因此去查查 /etc/cron* 下的相关配置,凸(艹皿艹 ),发现好多不认识的东西,尝试删除

        rm -rf crontab*
    

    结果是没有权限删除, 大哥,我是 root 哦,我不能删除我想要的文件?为啥?
    看看是不是只读fs,发现就这几个文件不是rw的,其他都可以操作。
    好吧,我先看看你这定时任务是啥?

      vim /etc/crontab
    

    貌似是定时执行某个脚本,进入脚本看看,发现他回去下载某个 ntpd 的脚本,然后使其可执行,并执行,看上去像是个有预谋的东西哦。
    好吧,我们进一步看看他到底想干啥,先下这个叫 ntpd 的脚本看看在说,

    ntpd内容

    我了个去,这是个有预谋的啊,里面有个很少用的命令哦, chattr 命令,这个不是用来修改文件属性的么?

      lsattr  /etc/crontab
    

    确实有变化哦,好吧,你怎么操作的,我给你都反向来一边即可,在backdoor里面,发现居然有修改 .ssh 目录,反了天咯,赶紧删掉。哈哈

    里面出现了 stratum+tcp:// 协议字样,好像是挖矿协议,哈哈,让我抓着了吧,嘻嘻

    后来查了查,貌似好多人遇到过哦, 原来是 redis 漏洞哦

    比如:关于服务被挖矿程序minerd入侵解决方法

    相关文章

      网友评论

          本文标题:Aliyun服务被沦为了挖矿机

          本文链接:https://www.haomeiwen.com/subject/vgokuxtx.html