记一次服务器被黑以及跟它们死磕的经历,文字简短,思绪悠长

2017-03-18 08:45:23 +08:00
 librae

昨晚 7 点多开始 swarm 掉线
然后服务器满负荷运转,网站无法访问
ssh 上去都卡得要死几乎动不了
发现有一堆随机名字的二进制代码在后台不停重启运行
/proc 都没法看
然后找到一个几分钟前尝试过 r00t 登陆的授权失败记录, ip 地址 49.4.143.144
全部 deny 掉

Anywhere                   DENY        49.4.143.144

然后删掉 /usr/bin /etc/init.d 等等目录下诸多随机名字的怪东西,但是过不久它们以一堆新随机名字复活
还好估计那个 ip 被暂时禁掉,估计它们做不了啥有用的事
当然还立马做了一件事就是更改 root 密码
后来发现有乔装打扮成 gnome-terminal 的进程,也是不断重启,妈蛋我服务器有个屁的 gnome 啊,骗劳资
但是无法溯源,未果
后来看到 crontab.hourly 里面有个 gcc4.sh 的东西,果断删之
重启两次服务器,又删了一大堆散落在服务器世界各地的怪东西

获救

早上 6 点开始死磕到现在,终于杀它们片甲不留

4369 次点击
所在节点    分享发现
12 条回复
doun
2017-03-18 08:47:50 +08:00
漏洞没有找到?
ETiV
2017-03-18 09:03:49 +08:00
也许 /boot 里还有……
swulling
2017-03-18 09:04:47 +08:00
重装系统
swulling
2017-03-18 09:05:21 +08:00
被入侵不重装,留着后门过年么…
bkmi
2017-03-18 09:08:35 +08:00
都这样了,还就改个密码,还不关闭密码登录
lhbc
2017-03-18 09:48:11 +08:00
可能 ls ps 都被改了
liangmishi
2017-03-18 09:53:07 +08:00
不知道漏洞在哪下次还会来,重装也是一样的
phrack
2017-03-18 10:19:00 +08:00
什么傻吊黑客,开源 rootkit 那么多不知道用。

不过 lz 也不要以为自己就删干净了,最好是数据备份直接重装。
librae
2017-03-18 11:13:16 +08:00
@doun
librae
2017-03-18 11:17:21 +08:00
@ETiV 谢谢
@swulling 这台服务器算半开发用的,后面会直接换掉
@bkmi 密码登录就没开过
@lhbc 还没到这一步
@liangmishi 对的,需要花点时间找找。主要是上面跑的东西杂了以后,啥都有可能有洞,得翻一遍。

@phrack 哈哈,就是,并不高明。我猜测并没删干净,只是它们基本躺尸了,还断了粮草... 后面直接换服务器以后不会放这么多杂物在上面,每一个服务都是必要才会启动。
freeming
2017-03-18 11:39:43 +08:00
楼主,社工啊,反黑一手
librae
2017-03-18 12:51:07 +08:00
@freeming 哈哈哈,研究下挖个坑下回直接让他丫往里跳

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/348374

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX