V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  linnil  ›  全部回复第 2 页 / 共 3 页
回复总数  50
1  2  3  
2019-12-24 13:51:38 +08:00
回复了 CoderLife 创建的主题 程序员 阿里云被植入了挖矿程序, 请大佬帮个忙啊
之前没有仔细看你发出来的东西,只是看到又有中挖矿木马的替你感到可惜又。。。
其实这种挖矿木马工作方式大同小异,你上面已经提到自己去用心跟了一下 bash,这样可以解决掉 90%这样的木马。
我之前所说不用这种云服务商提供的服务是个人觉得他们管的太多。
之前爆的[redis 挖矿]( https://www.v2ex.com/t/537457)你可以参考一下,排查那些死灰复燃的地方,加留心关注应该就行了。
你这次中了,应该和`postgresql`有关。
2019-12-23 15:10:21 +08:00
回复了 CoderLife 创建的主题 程序员 阿里云被植入了挖矿程序, 请大佬帮个忙啊
看到告警,我就觉得:还是不用这云服务比较好。。。
2019-07-31 08:53:37 +08:00
回复了 woahishui 创建的主题 程序员 网站求助
如果排除了 3 楼的问题。
那么可以看看是不是你代码里面开了压缩,然后提供服务的服务器又进行了压缩,也就是你压缩了#两次#。
2019-07-24 17:57:11 +08:00
回复了 j0ck1e 创建的主题 Linux 百度网盘和米聊都陆续推出 Linux 版客户端了, qq 还会远吗?
国产化风头正盛,大概率会出。
虽然不看好国产化,但是就 QQ 会不会有 linux 版本这事来说,就看国产化的虚火能烧多久,久则出,否则则胎死腹中。
2019-06-21 14:13:33 +08:00
回复了 xiaotianhu 创建的主题 程序员 服务器被马了,求帮忙
能 ps 出那个进程么? vi 删掉定时任务之后会立刻重新恢复么?/proc 下有对应进程 ID 的文件夹么?
如果上面的回答都是 no,那么准备好迁移的数据,重装系统吧。如果不是,参考前面给的建议。
对付`rootkit`难度爆表。
2019-06-20 15:32:09 +08:00
回复了 daijinming 创建的主题 程序员 国内开发用什么版本 Linux 最舒服
什么情况,SUSE 明明这么好用,咋就是没人推荐呢?
2019-06-04 20:13:22 +08:00
回复了 jciba5n4y6u 创建的主题 云计算 腾讯云重庆特价主机的带宽不是说 1M 么?
1024/8=128, 1M 不是说的速度。1M 是带宽啊。。。
2019-05-15 11:52:26 +08:00
回复了 745839 创建的主题 全球工单系统 腾讯 TIM 项目是要放弃了吗,半年没更新了
Iphone XR TIM 连适配都没做好么,分辨率感人。要不是 QQ 关不了使用设备显示,早滚去用 QQ 了。
2019-05-14 08:32:48 +08:00
回复了 googlefans 创建的主题 问与答 如何跟踪邮件是否被读的
@Macolor21 不开加载图片的功能,谨防被干的怎么办。
歪楼问一句:同一台电脑,用 Linux 系统没事,用 Windows10 就频繁蓝屏,是电脑问题吗?
PS:半年前自己无脑组装了一台电脑,装上 Win10 之后动不动(尤其是更新又更新不了,系统又自动老是尝试更新,关又关不掉)就蓝屏,openSUSE 使用没有任何问题。
2019-04-09 08:40:19 +08:00
回复了 Hanbuger 创建的主题 Linux Linux 云服务器中毒了
很久没关注`redis`的挖矿木马了,解决方案参考:[对抗这种 rootkit 难度爆表,,回滚更划算,]( https://www.v2ex.com/t/537457?p=1)
以前是 windows 下开发的吧,路径是用的字符串,修改那些文件路径就好了
2019-03-05 08:28:15 +08:00
回复了 dyllanwli 创建的主题 程序员 有没有一起学 hacker101 的小伙伴?
+1
2019-02-22 16:39:24 +08:00
回复了 abcbuzhiming 创建的主题 Linux Linux 被入侵了该怎么整,入侵者摆明了不怕你知道
@lvxiang119 哇,大佬啊,我只知道它劫持了系统库函数,但是不知道具体劫持了哪些,功力不足啊。
顺带问一下破坏了链接库,删除定时任务,开机自启之后,这个挖矿病毒算清理了么?
2019-02-22 11:54:37 +08:00
回复了 abcbuzhiming 创建的主题 Linux Linux 被入侵了该怎么整,入侵者摆明了不怕你知道
最新消息,libioset 貌似升级了,
将 libioset。so 文件破坏,系统重启,清空能用。主要是那个动态链接库搞事情。
2019-02-22 11:02:59 +08:00
回复了 abcbuzhiming 创建的主题 Linux Linux 被入侵了该怎么整,入侵者摆明了不怕你知道
## 来源
大部分来源于 redis,这里也只说明 redis

### redis
在 redis 以 root 运行,开启公网访问,没有禁用 /重命名 confing 命令,且使用系统定时任务服务的情况下,可实现入侵。当局域网内有一台机被沦陷之后,且该机器登录过且无需密码能登录局域网内服务器,将进行扫描入侵。

## 脚本流程
该脚本将先清理掉服务器可能已经被挖矿的其他程序,然后下载自己的看门狗程序,设置并覆盖加载动态链接库:
/etc/ld.so.preload
/usr/local/lib/libioset.so

写入定时任务,文件有:
1. /var/spool/cron/root
2. /etc/cron.d/root
3. /var/spool/cron/crontabs/root

常见 watchdogs 自启动服务:
/etc/init.d/watchdogs

## 特别说明 - 链接库
链接库会覆盖某些函数,当运行一些命令时会先执行作者写的函数,所以在使用 cd,vi 等命令时会发现定时任务又回来了,这是因为这些命令会调用该链接库所致。并不是有其他程序监控并修改文件所致。

## 建议清理方案
设置 redis
停掉定时任务
清理并刷新动态链接库
清理并重建定时任务
删除自启动
启动定时任务

## 不足
由于时间与能力的关系,分析可能不完整,欢迎大家提出意见。
@17612729987
@Acoffice
2019-02-22 10:39:19 +08:00
回复了 abcbuzhiming 创建的主题 Linux Linux 被入侵了该怎么整,入侵者摆明了不怕你知道
@Acoffice 我整理一下,稍等。
2019-02-22 10:24:56 +08:00
回复了 abcbuzhiming 创建的主题 Linux Linux 被入侵了该怎么整,入侵者摆明了不怕你知道
咋感觉都没人愿意理我呢,昨天正好看了下这个 sByq0rym 这个挖矿木马。又花五分给说说,极力挽救一下。
木马主要是利用定时任务,每 15/30 分钟执行一次,而且该木马会覆盖一个库函数,当你使用一些命令的时候会调用该库的函数,作者在函数里进行了屏蔽,比如 ps 的时候,显示不出进程,而且在你用 vi 修改定时任务的时候,会先将数据写入到定时任务文件。所以对付它可以先停掉定时任务,然后删掉那个动态链接库,然后刷新并重建定时任务文件,在开启定时任务。
脚本里面有函数,虽然命名不规范,很垃圾,但是应该也许容易看。
1  2  3  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2698 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 32ms · UTC 05:46 · PVG 13:46 · LAX 21:46 · JFK 00:46
Developed with CodeLauncher
♥ Do have faith in what you're doing.