急，在线等，服务器被黑了

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 1986 天前的主题，其中的信息可能已经有所发展或是发生改变。

ftp://43.230.112.161/edominer
看 history 记录，发现他从这个路径下载了一个文件，然后执行了，现在服务器上面有个挖矿的脚本占满了 cpu ……绝望，有没有大佬遇见过的，或者这位大佬如果在 v 站求放过，实在是解决不了了。
在线乞讨大佬帮忙一下……或者指点一下思路。
history 中发现这个脚本删除了 redis 的操作记录

大佬

History

脚本

Redis

34 条回复 • 2019-05-30 16:33:21 +08:00

Reficul

2019-05-30 00:50:55 +08:00

在线等老哥：“ ssh 密码，上去看看”

正经回答就是备份 and 重装

wwhc

2019-05-30 00:55:57 +08:00

不会又是 centos 吧

Steven0125

2019-05-30 01:03:12 +08:00 via Android

去年自用的腾讯云服务器，用了 redis，老被黑，然后没用 redis，发现正常了。
数据那是找不回来了，毕竟 1 个比特币估计给了也是白给的。
后来在阿里云买了一台服务器，跑同样的服务，暂时还没有被黑。

kmahyyg

2019-05-30 01:05:18 +08:00 via iPad

[MALICIOUS REPLY REMOVED AND BANNED]

kmahyyg

2019-05-30 01:06:45 +08:00 via iPad

[MALICIOUS REPLY REMOVED AND BANNED]

Ultraman

2019-05-30 01:11:35 +08:00 via Android

我们用排除法
首先 sudo rm -rf / 可能没法完全清除掉它

boris1993

2019-05-30 01:18:11 +08:00 via Android

备份数据，重装

@Steven0125 #3 空密码或弱密码 Redis 暴露在公网就是找死，或者说，数据库就不应该暴露出来

chinesestudio

2019-05-30 01:26:39 +08:00 via Android

要运维找我单次或者长期防火墙请配置好

chinesestudio

2019-05-30 01:28:28 +08:00 via Android

@Steven0125 防火墙和 redis 没配置好自然被黑

msg7086

2019-05-30 01:50:12 +08:00

在线等？等什么？不重装系统难道还有第二条路？

HuasLeung

2019-05-30 07:19:05 +08:00 via Android

开 ssh，让我上去看看

vB4h3r2AS7wOYkY0

2019-05-30 07:19:14 +08:00

#4 #5
@Livid 恶意混淆危险命令 rm -rf --no-preserve-root /*

qilishasha

2019-05-30 08:06:07 +08:00

根据运维部每次的报告来看，重装是最快的办法，用文件码比对就可以知道哪个类、文件被注入，然后逆向找原因。所以，当服务器配置好后的初次备份很重要。

iiusky

2019-05-30 08:08:08 +08:00 via Android

@kmahyyg 你这样真的好吗

yogogo

2019-05-30 08:19:16 +08:00

@Reficul 那老哥最近都没看到了_(:ｪ」∠)_怀念

LongLights

2019-05-30 08:34:25 +08:00 via Android

备份数据重装

mahonejolla

2019-05-30 08:39:08 +08:00

麻痹，点开链接是个文件，赶快结束他。不敢造次。

BrillianKnight

2019-05-30 08:45:54 +08:00

#4 #5
@Livid 恶意混淆危险命令 rm -rf --no-preserve-root /*

lusi1990

2019-05-30 08:46:31 +08:00 via Android

我也被黑过，当时技术水平有限，把某云骂了一遍，然后重装

stanjia

2019-05-30 08:48:10 +08:00

@wwhc 又是 centos 怎么讲？？想听这个故事

nightcat

2019-05-30 09:03:21 +08:00

@kmahyyg NMSL

lygmqkl

2019-05-30 09:04:34 +08:00

redis 的锅吧？

nicevar

2019-05-30 09:07:10 +08:00

数据库一类的不要开启外网访问，ssh 安全配置加强一下

hanxiV2EX

2019-05-30 09:11:31 +08:00 via Android

备份数据重新开个容器，比在线等快多了吧。

mzlzero

2019-05-30 09:55:26 +08:00

#4 #5
@Livid 恶意混淆危险命令 rm -rf --no-preserve-root /*

ScotGu

2019-05-30 10:04:21 +08:00

@kmahyyg #4 这位也是 v2 老哥了，怎么能这样恶意的玩弄他人。

w0nglend

2019-05-30 10:05:35 +08:00 via iPad

#4 #5
@Livid 恶意混淆危险命令 rm -rf --no-preserve-root /*

w0nglend

2019-05-30 10:10:16 +08:00 via iPad

安全 tips：
redis 的端口用安全组 /iptables 加固；
重命名 CONFIG, FLUSHALL, FLUSHDB 等危险操作，，加上密码；
redis 使用单独用户，并使用 iptables 的 user 模块过滤此用户访问公网

mentalidade

2019-05-30 10:20:19 +08:00

@kmahyyg #4 @Livid 容易让搜到这个问题的误操作，建议屏蔽掉

Constellation39

2019-05-30 10:42:32 +08:00

@wwhc 同想

hasdream

2019-05-30 11:02:12 +08:00 via Android

应用用二级用户。安全组只开 80

Livid

MOD

2019-05-30 12:21:57 +08:00

@MayKiller
@mentalidade

谢谢举报。那个账号，及其注册手机号，及其注册手机号所关联到的所有的其他小号，会被彻底 ban。

那两条会引起危险误操作的回复会被屏蔽。

Livid

MOD

2019-05-30 12:24:56 +08:00

根据邮箱找到的另外一个关联小号 @kmahyygyyg 也同时被彻底 ban。

wlfeng

2019-05-30 16:33:21 +08:00

ssh 不要使用密码登录啊，极度不安全