急,在线等,服务器被黑了

2019-05-29 21:52:56 +08:00
 MrVito

ftp://43.230.112.161/edominer
看 history 记录,发现他从这个路径下载了一个文件,然后执行了,现在服务器上面有个挖矿的脚本占满了 cpu ……绝望,有没有大佬遇见过的,或者这位大佬如果在 v 站求放过,实在是解决不了了。
在线乞讨大佬帮忙一下……或者指点一下思路。
history 中发现这个脚本删除了 redis 的操作记录

4995 次点击
所在节点    问与答
34 条回复
Reficul
2019-05-30 00:50:55 +08:00
在线等老哥:“ ssh 密码,上去看看”


正经回答就是备份 and 重装
wwhc
2019-05-30 00:55:57 +08:00
不会又是 centos 吧
Steven0125
2019-05-30 01:03:12 +08:00
去年自用的腾讯云服务器,用了 redis,老被黑,然后没用 redis,发现正常了。
数据那是找不回来了,毕竟 1 个比特币估计给了也是白给的。
后来在阿里云买了一台服务器,跑同样的服务,暂时还没有被黑。
kmahyyg
2019-05-30 01:05:18 +08:00
[MALICIOUS REPLY REMOVED AND BANNED]
kmahyyg
2019-05-30 01:06:45 +08:00
[MALICIOUS REPLY REMOVED AND BANNED]
Ultraman
2019-05-30 01:11:35 +08:00
我们用排除法
首先 sudo rm -rf / 可能没法完全清除掉它
boris1993
2019-05-30 01:18:11 +08:00
备份数据,重装

@Steven0125 #3 空密码或弱密码 Redis 暴露在公网就是找死,或者说,数据库就不应该暴露出来
chinesestudio
2019-05-30 01:26:39 +08:00
要运维找我 单次或者长期 防火墙请配置好
chinesestudio
2019-05-30 01:28:28 +08:00
@Steven0125 防火墙和 redis 没配置好 自然被黑
msg7086
2019-05-30 01:50:12 +08:00
在线等?等什么?不重装系统难道还有第二条路?
HuasLeung
2019-05-30 07:19:05 +08:00
开 ssh,让我上去看看
vB4h3r2AS7wOYkY0
2019-05-30 07:19:14 +08:00
#4 #5
@Livid 恶意混淆危险命令 rm -rf --no-preserve-root /*
qilishasha
2019-05-30 08:06:07 +08:00
根据运维部每次的报告来看,重装是最快的办法,用文件码比对就可以知道哪个类、文件被注入,然后逆向找原因。所以,当服务器配置好后的初次备份很重要。
iiusky
2019-05-30 08:08:08 +08:00
@kmahyyg 你这样真的好吗
yogogo
2019-05-30 08:19:16 +08:00
@Reficul 那老哥最近都没看到了_(:ェ 」∠)_怀念
LongLights
2019-05-30 08:34:25 +08:00
备份数据 重装
mahonejolla
2019-05-30 08:39:08 +08:00
麻痹,点开链接是个文件,赶快结束他。不敢造次。
BrillianKnight
2019-05-30 08:45:54 +08:00
#4 #5
@Livid 恶意混淆危险命令 rm -rf --no-preserve-root /*
lusi1990
2019-05-30 08:46:31 +08:00
我也被黑过,当时技术水平有限,把某云骂了一遍 ,然后重装
stanjia
2019-05-30 08:48:10 +08:00
@wwhc 又是 centos 怎么讲?? 想听这个故事

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/568921

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX