ftp://43.230.112.161/edominer
看 history 记录,发现他从这个路径下载了一个文件,然后执行了,现在服务器上面有个挖矿的脚本占满了 cpu ……绝望,有没有大佬遇见过的,或者这位大佬如果在 v 站求放过,实在是解决不了了。
在线乞讨大佬帮忙一下……或者指点一下思路。
history 中发现这个脚本删除了 redis 的操作记录
1
Reficul 2019-05-30 00:50:55 +08:00 4
在线等老哥:“ ssh 密码,上去看看”
正经回答就是备份 and 重装 |
2
wwhc 2019-05-30 00:55:57 +08:00
不会又是 centos 吧
|
3
Steven0125 2019-05-30 01:03:12 +08:00 via Android
去年自用的腾讯云服务器,用了 redis,老被黑,然后没用 redis,发现正常了。
数据那是找不回来了,毕竟 1 个比特币估计给了也是白给的。 后来在阿里云买了一台服务器,跑同样的服务,暂时还没有被黑。 |
4
kmahyyg 2019-05-30 01:05:18 +08:00 via iPad
[MALICIOUS REPLY REMOVED AND BANNED]
|
5
kmahyyg 2019-05-30 01:06:45 +08:00 via iPad 1
[MALICIOUS REPLY REMOVED AND BANNED]
|
6
Ultraman 2019-05-30 01:11:35 +08:00 via Android
我们用排除法
首先 sudo rm -rf / 可能没法完全清除掉它 |
7
boris1993 2019-05-30 01:18:11 +08:00 via Android 2
|
8
chinesestudio 2019-05-30 01:26:39 +08:00 via Android
要运维找我 单次或者长期 防火墙请配置好
|
9
chinesestudio 2019-05-30 01:28:28 +08:00 via Android
@Steven0125 防火墙和 redis 没配置好 自然被黑
|
10
msg7086 2019-05-30 01:50:12 +08:00
在线等?等什么?不重装系统难道还有第二条路?
|
11
HuasLeung 2019-05-30 07:19:05 +08:00 via Android
开 ssh,让我上去看看
|
12
vB4h3r2AS7wOYkY0 2019-05-30 07:19:14 +08:00 11
#4 #5
@Livid 恶意混淆危险命令 rm -rf --no-preserve-root /* |
13
qilishasha 2019-05-30 08:06:07 +08:00 1
根据运维部每次的报告来看,重装是最快的办法,用文件码比对就可以知道哪个类、文件被注入,然后逆向找原因。所以,当服务器配置好后的初次备份很重要。
|
16
LongLights 2019-05-30 08:34:25 +08:00 via Android
备份数据 重装
|
17
mahonejolla 2019-05-30 08:39:08 +08:00
麻痹,点开链接是个文件,赶快结束他。不敢造次。
|
18
BrillianKnight 2019-05-30 08:45:54 +08:00 1
#4 #5
@Livid 恶意混淆危险命令 rm -rf --no-preserve-root /* |
19
lusi1990 2019-05-30 08:46:31 +08:00 via Android
我也被黑过,当时技术水平有限,把某云骂了一遍 ,然后重装
|
22
lygmqkl 2019-05-30 09:04:34 +08:00
redis 的锅吧?
|
23
nicevar 2019-05-30 09:07:10 +08:00
数据库一类的不要开启外网访问,ssh 安全配置加强一下
|
24
hanxiV2EX 2019-05-30 09:11:31 +08:00 via Android
备份数据重新开个容器,比在线等快多了吧。
|
27
w0nglend 2019-05-30 10:05:35 +08:00 via iPad 1
#4 #5
@Livid 恶意混淆危险命令 rm -rf --no-preserve-root /* |
28
w0nglend 2019-05-30 10:10:16 +08:00 via iPad
安全 tips:
redis 的端口用安全组 /iptables 加固; 重命名 CONFIG, FLUSHALL, FLUSHDB 等危险操作,,加上密码; redis 使用单独用户,并使用 iptables 的 user 模块过滤此用户访问公网 |
29
mentalidade 2019-05-30 10:20:19 +08:00 1
|
30
Constellation39 2019-05-30 10:42:32 +08:00
@wwhc 同想
|
31
hasdream 2019-05-30 11:02:12 +08:00 via Android
应用用二级用户。 安全组只开 80
|
32
Livid MOD |
33
Livid MOD 根据邮箱找到的另外一个关联小号 @kmahyygyyg 也同时被彻底 ban。
|
34
wlfeng 2019-05-30 16:33:21 +08:00
ssh 不要使用密码登录啊,极度不安全
|