服务器被挂马

2018-06-02 13:27:00 +08:00
 Ansen
现网的 3 台 hadoop 服务器被挂马
这是我找到的挂马脚本
http://185.222.210.59/cr.sh
但是没找出入口在哪里
手工删除 crontab 任务后,会自动添加,感觉又一次执行了 上面那个脚本
目前没找到是哪个进程执行的,也没有找到入侵的入口在哪里……
目前是把 这个 ip 封禁掉,但是找不到守护进行 很不安心那

tcp 和 udp 的监听端口检查过没有问题
期间服务器已更换过外网 ip,禁止了 root 密码登陆,但是问题依旧,找不到那个守护进程

ps aux
链接: https://pan.baidu.com/s/1gV8z6eom2JQVnNuEddWQBA 密码: 4p9t
5364 次点击
所在节点    Ubuntu
14 条回复
Devilker
2018-06-02 13:36:47 +08:00
把 YARN RM 的 8088 对外网开放了
Devilker
2018-06-02 13:37:59 +08:00
参考文章 https://paper.seebug.org/611/
很详细的
Ansen
2018-06-02 13:47:28 +08:00
@Devilker #1 就是这个问题,非常感谢
Devilker
2018-06-02 13:51:31 +08:00
@Ansen NO 3Q 哈~
jeffson
2018-06-02 14:14:34 +08:00
Mark
neocanable
2018-06-02 14:49:52 +08:00
找到相同 version 的 linux,把 /bin/ /sbin /usr/bin /usr/sbin 下的可执行文件都做下 md5 比较,如果不对,直接替换。
曾经中过一个这样的 tail,替换了我的 cat/grep/tail/less/more,换回来就好了
a7a2
2018-06-02 15:01:04 +08:00
把所有服务转移到新服务器并且请一个比你强的人去做

一个精通运维安全的就是业务代码本身有后门也能根据业务规则做到最大安全免于被入侵、破坏

从你问及找不着原因来就知道再自己搞也不太行 因为连第一入侵口都无找出来 再重新配置新服务器也一样
Ansen
2018-06-02 15:46:18 +08:00
@neocanable 这些已经做了 发现完全 ok 才没想明白
@a7a2 我对 hadoop 这块不怎么了解,所以没有去排查也不知道怎么查,而且先入为主的认为是密码泄漏
Ansen
2018-06-02 15:47:15 +08:00
@a7a2 知道自己搞不出来,马上就来发帖了,😄
loveminds
2018-06-02 18:12:16 +08:00
你的 Yarn 或者其他的一些没有 Authentication 的 API 应该是暴露在公网的
ThirdFlame
2018-06-02 20:12:41 +08:00
shell 执行后可能吧自己给删了。 也可能被 rootkit 了
Ansen
2018-06-02 20:23:07 +08:00
@loveminds
@ThirdFlame 就是一楼提到的问题
loveminds
2018-06-02 20:31:59 +08:00
@Ansen 以后记得留意有没有暴露在公网的服务和接口,有些东西默认设置并没有验证和鉴权,像 Redis 也有类似的问题
Greenm
2018-06-03 23:20:34 +08:00
最近 hadoop 被黑的人挺多的

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/459800

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX