第一次遇到这个,安全中心也给出了路径/var/tmp/java,但是到目录下也没找到程序,我是试用网页的功能隔离了进程,就想知道一般发生这种情况是不是服务器的 ssh 已被破解,我已经更换了密码,还需要做其他的动作吗,
This topic created in 454 days ago, the information mentioned may be changed or developed.
Supplement 1 Feb 13, 2025
告警解释
这是一个对抗安全软件的告警:
告警类型是“精准防御”,说明已经被防御模块拦截。
进程启动了 wget 命令,试图从阿里云云盾的更新服务器下载一个卸载脚本 uninstall.sh 。
wget 命令通常不会出现在正常业务环境中,而是常用于下载和执行恶意脚本。
该脚本的作用是卸载云盾防护软件,这是典型的对抗安全防护软件的行为。
进程的父进程是 bash ,表明是在命令行环境中执行的。
告警原因明确指出是异常下载执行云盾卸载脚本。
综上,判断该行为是试图通过下载并执行脚本的方式,来卸载云盾等安全软件,以绕过安全防护。这种行为属于对抗安全软件的常见攻击手法。需要立即检查服务器是否已被入侵控制,同时加强安全防护措施,防止类似攻击再次发生。
这是一个对抗安全软件的告警:
告警类型是“精准防御”,说明已经被防御模块拦截。
进程启动了 wget 命令,试图从阿里云云盾的更新服务器下载一个卸载脚本 uninstall.sh 。
wget 命令通常不会出现在正常业务环境中,而是常用于下载和执行恶意脚本。
该脚本的作用是卸载云盾防护软件,这是典型的对抗安全防护软件的行为。
进程的父进程是 bash ,表明是在命令行环境中执行的。
告警原因明确指出是异常下载执行云盾卸载脚本。
综上,判断该行为是试图通过下载并执行脚本的方式,来卸载云盾等安全软件,以绕过安全防护。这种行为属于对抗安全软件的常见攻击手法。需要立即检查服务器是否已被入侵控制,同时加强安全防护措施,防止类似攻击再次发生。
 | 1 julyclyde Feb 12, 2025 格式化重装吧 |
3 2Nfree Feb 12, 2025 建议 SSH 换成禁用密码登录使用密钥对登录,建议手动扫描一下目录看看有没有什么可疑文件,推荐用 rkhunter 一般来说不一定是你的 ssh 被破解,要看跑的什么服务,是不是有漏洞什么的,webshell 之类的 |
 | 5 ming2050 Feb 12, 2025 防火墙权限打开了,入站只保留业务必须的,ssh 限制入站 ip 。 生产环境感觉更应该备份数据,然后重装了。 |
 | 6 impdx Feb 12, 2025 找你们的安全团队,应急处置流程就行 |
 | 7 deloved Feb 12, 2025 先把外网断了,出入口都得断开,防止下载脚本和对外攻击,第二就是找恶意文件了 这个看自己排查深度,很多挖坑脚本都会改名 隐藏自己,删干净之后 再做一下密码重置 漏洞修复啥的,然后恢复外网 |
 | 8 lavvrence Feb 12, 2025 不能用了,换机器 |
 | 9 freaks OP @2Nfree 这个有可能,谢谢,我还收到了一个告警说:“服务器有可以程序 sysagent 开启了子 shell , 那个命令中有一个域名解析了一个 npm 页面” |
| 11 freaks OP @xiayun ecs 不知道咋断网,不允许这样操作,密码改了并禁用了密码登录,改为公钥认证, 现在只有先观察下了,之前安全组开了好多中间件和应用端口 |
 | 12 yinmin Feb 12, 2025 ecs 跑 linux ,最佳实践还是全 docker 部署:linux 到手后 SSH 改密钥登录/禁密码登录,开启 ufw 防火墙,安装 docker ,然后就是全部安装在 docker 里,万一被黑,容器 compose down 再 up 一下 |
 | 13 zqqian Feb 12, 2025 确实不能再用了,因为你根本无法保证清除干净 备份一下数据然后重装系统吧 |
 | 14 L5tEU4WX072p5P42 Feb 12, 2025 日常,我以前用 vultr 搭建梯子,平均两周被挖矿病毒跑满,重装一次。 我不会搞些防病毒的东西,也懒得学。 每隔两周重装一次系统,就只装个梯子嘛,十几分钟就完成。 现在是买的机场,不知道现在 vultr 怎样了 |
| 15 impdx Feb 13, 2025 @freaks #10 东西太多了,应急处置的东西得看具体情况来,只是告警的话,麻烦把告警贴出来,挖矿最好拿出来样本扔沙箱看会出什么东西,有没有守护进程,创建了多少个有关联的文件。一般来说扔微步/安恒沙箱就行。最后去把这些有关进程全部 kill ,删掉有关文件。顺便看下日志的情况就可以大概知道从哪里进来的,机器日志和 java 的日志都要看,才能只能大概是什么路径进来的。你也可以自己拿漏扫干一下,能随便出现挖矿这种的,一般漏扫都可以直接干出 RCE 来,都不需要手工渗透 |
| 16 4UyQY0ETgHMs77X8 Feb 13, 2025 平台和百度都有方案啊 之前经历过一次跟着百度做完的,因为业务少进程也少,那个不是自己加的一眼就看出来了 https://www.alibabacloud.com/help/zh/security-center/use-cases/best-practices-for-handling-mining-programs |
| 17 freaks OP @q1102389095 感谢,我看看,那天使用隔离功能清理了,cpu 占用下来了,我再深入排查下,就是不知道是不是密码泄露了,还是程序漏洞 |
| 18 4UyQY0ETgHMs77X8 Feb 13, 2025 @freaks 这种一般都是 ssh 批量弱口令爆破,很少有针对性的找某一个都是大批量的 |
| 19 freaks OP @q1102389095 #18 父进程关系: ```bash /usr/lib/systemd/systemd --switched-root --system --deserialize 22 /path/to/jar/sysagent -s illegal-domain:5555 -p Alphanumeric case /usr/bin/bash ``` 这个是不是要提权,先报有挖矿,后面就是这个对抗安全软件行为  |
| 20 4UyQY0ETgHMs77X8 Feb 13, 2025 @freaks 放 ai 试试吧,最近出来的也应该是 ai 批量写的 |
| 24 julyclyde Feb 13, 2025 @freaks 看不懂你这父进程关系的图 你第一行 markdown bash 啥意思?想要语法高亮吗? 如果父进程是 systemd ,说明不了任何问题;如果是 bash……问题是明显不是 bash 啊 |
| 26 julyclyde Feb 14, 2025 |
Select Language