看论坛,最近阿里云的机器好热闹,好多机器被黑,而且攻击者都很明显的在 crontab 中添加定时任务,我们的机器也是被黑了,攻击者下载的病毒的域名都是 pastebin.com ,而且几乎都是一致的,出现这种情况,有没有可能是阿里云的机器有某些漏洞?抑或是某些友商恶意攻击阿里云机器? 我们也中招了 https://www.v2ex.com/t/537087#reply6 昨天自己在虚拟环境运行病毒,发现这货好强大,运行后,所有外部命令都被感染,ldd /usr/bin/ls 可以看到该软件依赖的库文件多了一个 libioset.so 的文件,该文件指向内存中的某个地址,其他所有命令几乎一样,程序会在 /etc/init.d 下生成 netconsole,function,watchdogs, ilogtail networks, 而且 ls 所依赖的 core-uitl 包也已被卸载,gblic 也被卸载,对应的核心库文件 libso-2.17.so 文件也被替换过, 对比过文件不一致,目前来看,大部分系统库文件都被替换了。
有一些机器直接关闭 watchdogs, ilogtail 就可以了,但有些不行,
我手动替换了一些被替换了核心库文件,rm -rf /etc/ls.so.cache LD_PRELOAD 重新指向新的核心库, 但查看后发现所有命令还是依赖 libioset.so 这个库, 感觉这病毒还挺厉害的,搞不定,撤了,准备重装系统了
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.