服务器被人挂了一个脚本

估计被提权了

昨天把 Postgres10 升到了 15,难不成版本有漏洞?

重装吧，挖矿脚本真像牛皮藓一样，各种骚操作黏在系统里，搞过两三次太头疼了。

ssh 给我我上去看看 （ doge:

看了一下 newinit.sh ，我能识别出的操作有：
删系统日志
关掉 SELINUX
把 wget 和 curl 改名（避免被用户 /自动识别？）
把 zzh 写入 cron
卸载阿里云的 aegis 和腾讯云的什么东西（安全 /监控软件？）
杀死一些安全类进程
破坏 /usr/bin/下的几个可执行
干掉其他的挖矿进程 /Docker
删缓存（？），干掉 /usr/lib/systemd/systemd-update-daily
给 ssh 加入公钥
在结尾好像又运行了什么

@maskerTUI 用的是 postgres 用户操作的,先删掉 postgres user 看看.这狗屎代码写了一堆进 systemd.

系统重装，仅使用密钥连接

之前 redis 没设置密码中过一次

@vagusss 你是端口暴漏在公网吗？

zzh 是一个很老牌的门罗挖矿蠕虫了，Cleanfda 家族的，之前分析的时候是用的 Redis 未授权，Docker API 未授权和 SSH 爆破实现蠕虫传播的，看起来现在多出一个 Postgres 的传播方式。
网上分析还是蛮多的，可以看看这篇 [Redis 未授权访问漏洞分析 cleanfda 脚本复现漏洞挖矿]( https://www.renfei.net/posts/1003501)

看了一下你发出来的代码，横向移动的脚本 rs.sh 里没看到有对 postgresql 漏洞的利用，只是用 masscan 和 pscan 对网段里的 6379 进行了批量扫描。你机器上是不是启动了一个 Redis 服务并且没上密码就对外开放了 6379 端口？

postgres 被挂过码, 端口外放的原因

@xboxv 是的,云服务器

还有一种可能就是...你的 postges 用户是弱密码并且支持远程登录被爆破了

@DiaosSama 这个代码是后来一个 PR 合进来的 主要是两个脚本 new_init.sh 和 zzh.

postgres 和 redis 的远程端口都没有开放.

我之前也是 pg 端口暴露到公网被挖矿了。最后一劳永逸还是加了白名单

脚本都是用 postgres 用户操作的,postgres 就昨天做了手动升级 10 --> 15.
这个怎么用 postgres 用户进来的日志都没找到,很无语.

@SunsetShimmer shit ，还干掉其他挖矿进程，太卷了

云服务器的话对你使用没影响的，不用管它，大家都不容易

@nmap #19 ?????????????????????????