急,在线等,服务器被黑了 - V2EX
首页 注册 登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
MrVito

急,在线等,服务器被黑了

  •   
  •   MrVito 2019 年 5 月 29 日 5667 次点击
    这是一个创建于 2521 天前的主题,其中的信息可能已经有所发展或是发生改变。

    ftp://43.230.112.161/edominer
    看 history 记录,发现他从这个路径下载了一个文件,然后执行了,现在服务器上面有个挖矿的脚本占满了 cpu ……绝望,有没有大佬遇见过的,或者这位大佬如果在 v 站求放过,实在是解决不了了。
    在线乞讨大佬帮忙一下……或者指点一下思路。
    history 中发现这个脚本删除了 redis 的操作记录

  • 大佬
  • History
  • 脚本
  • Redis
    34 条回复    2019-05-30 16:33:21 +08:00
    Reficul
        1
    Reficul  
       2019 年 5 月 30 日   4
    在线等老哥:“ ssh 密码,上去看看”


    正经回答就是备份 and 重装
    wwhc
        2
    wwhc  
       2019 年 5 月 30 日
    不会又是 centos 吧
    Steven0125
        3
    Steven0125  
       2019 年 5 月 30 日 via Android
    去年自用的腾讯云服务器,用了 redis,老被黑,然后没用 redis,发现正常了。
    数据那是找不回来了,毕竟 1 个比特币估计给了也是白给的。
    后来在阿里云买了一台服务器,跑同样的服务,暂时还没有被黑。
    kmahyyg
        4
    kmahyyg  
       2019 年 5 月 30 日 via iPad
    [MALICIOUS REPLY REMOVED AND BANNED]
    kmahyyg
        5
    kmahyyg  
       2019 年 5 月 30 日 via iPad   1
    [MALICIOUS REPLY REMOVED AND BANNED]
    Ultraman
        6
    Ultraman  
       2019 年 5 月 30 日 via Android
    我们用排除法
    首先 sudo rm -rf / 可能没法完全清除掉它
    boris1993
        7
    boris1993  
       2019 年 5 月 30 日 via Android   2
    备份数据,重装

    @Steven0125 #3 空密码或弱密码 Redis 暴露在公网就是找死,或者说,数据库就不应该暴露出来
    chinesestudio
        8
    chinesestudio  
       2019 年 5 月 30 日 via Android
    要运维找我 单次或者长期 防火墙请配置好
    chinesestudio
        9
    chinesestudio  
       2019 年 5 月 30 日 via Android
    @Steven0125 防火墙和 redis 没配置好 自然被黑
    msg7086
        10
    msg7086  
       2019 年 5 月 30 日
    在线等?等什么?不重装系统难道还有第二条路?
    BCy66drFCvk1Ou87
        11
    BCy66drFCvk1Ou87  
       2019 年 5 月 30 日 via Android
    开 ssh,让我上去看看
    vB4h3r2AS7wOYkY0
        12
    vB4h3r2AS7wOYkY0  
       2019 年 5 月 30 日   11
    #4 #5
    @Livid 恶意混淆危险命令 rm -rf --no-preserve-root /*
    qilishasha
        13
    qilishasha  
       2019 年 5 月 30 日   1
    根据运维部每次的报告来看,重装是最快的办法,用文件码比对就可以知道哪个类、文件被注入,然后逆向找原因。所以,当服务器配置好后的初次备份很重要。
    iiusky
        14
    iiusky  
       2019 年 5 月 30 日 via Android
    @kmahyyg 你这样真的好吗
    yogogo
        15
    yogogo  
       2019 年 5 月 30 日
    @Reficul 那老哥最近都没看到了_(: 」∠)_怀念
    LongLights
        16
    LongLights  
       2019 年 5 月 30 日 via Android
    备份数据 重装
    mahonejolla
        17
    mahonejolla  
       2019 年 5 月 30 日
    麻痹,点开链接是个文件,赶快结束他。不敢造次。
    BrillianKnight
        18
    BrillianKnight  
       2019 年 5 月 30 日   1
    #4 #5
    @Livid 恶意混淆危险命令 rm -rf --no-preserve-root /*
    lusi1990
        19
    lusi1990  
       2019 年 5 月 30 日 via Android
    我也被黑过,当时技术水平有限,把某云骂了一遍 ,然后重装
    stanjia
       
    stanjia  
       2019 年 5 月 30 日
    @wwhc 又是 centos 怎么讲?? 想听这个故事
    nightcat
        21
    nightcat  
       2019 年 5 月 30 日
    @kmahyyg NMSL
    lygmqkl
        22
    lygmqkl  
       2019 年 5 月 30 日
    redis 的锅吧?
    nicevar
        23
    nicevar  
       2019 年 5 月 30 日
    数据库一类的不要开启外网访问,ssh 安全配置加强一下
    hanxiV2EX
        24
    hanxiV2EX  
       2019 年 5 月 30 日 via Android
    备份数据重新开个容器,比在线等快多了吧。
    mzlzero
        25
    mzlzero  
       2019 年 5 月 30 日   1
    #4 #5
    @Livid 恶意混淆危险命令 rm -rf --no-preserve-root /*
    ScotGu
        26
    ScotGu  
       2019 年 5 月 30 日
    @kmahyyg #4 这位也是 v2 老哥了,怎么能这样恶意的玩弄他人。
    w0nglend
        27
    w0nglend  
       2019 年 5 月 30 日 via iPad   1
    #4 #5
    @Livid 恶意混淆危险命令 rm -rf --no-preserve-root /*
    w0nglend
        28
    w0nglend  
       2019 年 5 月 30 日 via iPad
    安全 tips:
    redis 的端口用安全组 /iptables 加固;
    重命名 CONFIG, FLUSHALL, FLUSHDB 等危险操作,,加上密码;
    redis 使用单独用户,并使用 iptables 的 user 模块过滤此用户访问公网
    mentalidade
        29
    mentalidade  
       2019 年 5 月 30 日   1
    @kmahyyg #4 @Livid 容易让搜到这个问题的误操作,建议屏蔽掉
    Constellation39
        30
    Constellation39  
       2019 年 5 月 30 日
    @wwhc 同想
    zerofiny
        31
    zerofiny  
       2019 年 5 月 30 日 via Android
    应用用二级用户。 安全组只开 80
    Livid
        32
    Livid  
    MOD
    PRO
       2019 年 5 月 30 日
    @MayKiller
    @mentalidade

    谢谢举报。那个账号,及其注册手机号,及其注册手机号所关联到的所有的其他小号,会被彻底 ban。

    那两条会引起危险误操作的回复会被屏蔽。
    Livid
        33
    Livid  
    MOD
    PRO
       2019 年 5 月 30 日
    根据邮箱找到的另外一个关联小号 @kmahyygyyg 也同时被彻底 ban。
    wlfeng
        34
    wlfeng  
       2019 年 5 月 30 日
    ssh 不要使用密码登录啊,极度不安全
    关于     帮助文档     自助推广系统     博客     API     FAQ     Solana     4811 人在线   最高记录 6679       Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 99ms UTC 09:41 PVG 17:41 LAX 02:41 JFK 05:41
    Do have faith in what you're doing.
    ubao msn snddm index pchome yahoo rakuten mypaper meadowduck bidyahoo youbao zxmzxm asda bnvcg cvbfg dfscv mmhjk xxddc yybgb zznbn ccubao uaitu acv GXCV ET GDG YH FG BCVB FJFH CBRE CBC GDG ET54 WRWR RWER WREW WRWER RWER SDG EW SF DSFSF fbbs ubao fhd dfg ewr dg df ewwr ewwr et ruyut utut dfg fgd gdfgt etg dfgt dfgd ert4 gd fgg wr 235 wer3 we vsdf sdf gdf ert xcv sdf rwer hfd dfg cvb rwf afb dfh jgh bmn lgh rty gfds cxv xcv xcs vdas fdf fgd cv sdf tert sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf shasha9178 shasha9178 shasha9178 shasha9178 shasha9178 liflif2 liflif2 liflif2 liflif2 liflif2 liblib3 liblib3 liblib3 liblib3 liblib3 zhazha444 zhazha444 zhazha444 zhazha444 zhazha444 dende5 dende denden denden2 denden21 fenfen9 fenf619 fen619 fenfe9 fe619 sdf sdf sdf sdf sdf zhazh90 zhazh0 zhaa50 zha90 zh590 zho zhoz zhozh zhozho zhozho2 lislis lls95 lili95 lils5 liss9 sdf0ty987 sdft876 sdft9876 sdf09876 sd0t9876 sdf0ty98 sdf0976 sdf0ty986 sdf0ty96 sdf0t76 sdf0876 df0ty98 sf0t876 sd0ty76 sdy76 sdf76 sdf0t76 sdf0ty9 sdf0ty98 sdf0ty987 sdf0ty98 sdf6676 sdf876 sd876 sd876 sdf6 sdf6 sdf9876 sdf0t sdf06 sdf0ty9776 sdf0ty9776 sdf0ty76 sdf8876 sdf0t sd6 sdf06 s688876 sd688 sdf86