急，在线等，服务器被黑了 - V2EX

首页注册登录

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 2418 天前的主题，其中的信息可能已经有所发展或是发生改变。

ftp://43.230.112.161/edominer
看 history 记录，发现他从这个路径下载了一个文件，然后执行了，现在服务器上面有个挖矿的脚本占满了 cpu ……绝望，有没有大佬遇见过的，或者这位大佬如果在 v 站求放过，实在是解决不了了。
在线乞讨大佬帮忙一下……或者指点一下思路。
history 中发现这个脚本删除了 redis 的操作记录

34 条回复 • 2019-05-30 16:33:21 +08:00

1

Reficul

2019 年 5 月 30 日

4

在线等老哥：“ ssh 密码，上去看看”

正经回答就是备份 and 重装

2

wwhc

2019 年 5 月 30 日

不会又是 centos 吧

3

Steven0125

2019 年 5 月 30 日 via Android

去年自用的腾讯云服务器，用了 redis，老被黑，然后没用 redis，发现正常了。
数据那是找不回来了，毕竟 1 个比特币估计给了也是白给的。
后来在阿里云买了一台服务器，跑同样的服务，暂时还没有被黑。

4

kmahyyg

2019 年 5 月 30 日 via iPad

[MALICIOUS REPLY REMOVED AND BANNED]

5

kmahyyg

2019 年 5 月 30 日 via iPad

1

[MALICIOUS REPLY REMOVED AND BANNED]

6

Ultraman

2019 年 5 月 30 日 via Android

我们用排除法
首先 sudo rm -rf / 可能没法完全清除掉它

7

boris1993

2019 年 5 月 30 日 via Android

2

备份数据，重装

@Steven0125 #3 空密码或弱密码 Redis 暴露在公网就是找死，或者说，数据库就不应该暴露出来

8

chinesestudio

2019 年 5 月 30 日 via Android

要运维找我单次或者长期防火墙请配置好

9

chinesestudio

2019 年 5 月 30 日 via Android

@Steven0125 防火墙和 redis 没配置好自然被黑

10

msg7086

2019 年 5 月 30 日

在线等？等什么？不重装系统难道还有第二条路？

11

BCy66drFCvk1Ou87

2019 年 5 月 30 日 via Android

开 ssh，让我上去看看

12

vB4h3r2AS7wOYkY0

2019 年 5 月 30 日

11

#4 #5
@Livid 恶意混淆危险命令 rm -rf --no-preserve-root /*

13

qilishasha

2019 年 5 月 30 日

1

根据运维部每次的报告来看，重装是最快的办法，用文件码比对就可以知道哪个类、文件被注入，然后逆向找原因。所以，当服务器配置好后的初次备份很重要。

14

iiusky

2019 年 5 月 30 日 via Android

@kmahyyg 你这样真的好吗

15

yogogo

2019 年 5 月 30 日

@Reficul 那老哥最近都没看到了_(:ｪ」∠)_怀念

16

LongLights

2019 年 5 月 30 日 via Android

备份数据重装

17

mahonejolla

2019 年 5 月 30 日

麻痹，点开链接是个文件，赶快结束他。不敢造次。

18

BrillianKnight

2019 年 5 月 30 日

1

#4 #5
@Livid 恶意混淆危险命令 rm -rf --no-preserve-root /*

19

lusi1990

2019 年 5 月 30 日 via Android

我也被黑过，当时技术水平有限，把某云骂了一遍，然后重装

20

stanjia

2019 年 5 月 30 日

@wwhc 又是 centos 怎么讲？？想听这个故事

21

nightcat

2019 年 5 月 30 日

22

lygmqkl

2019 年 5 月 30 日

redis 的锅吧？

23

nicevar

2019 年 5 月 30 日

数据库一类的不要开启外网访问，ssh 安全配置加强一下

24

hanxiV2EX

2019 年 5 月 30 日 via Android

备份数据重新开个容器，比在线等快多了吧。

25

mzlzero

2019 年 5 月 30 日

1

#4 #5
@Livid 恶意混淆危险命令 rm -rf --no-preserve-root /*

26

ScotGu

2019 年 5 月 30 日

@kmahyyg #4 这位也是 v2 老哥了，怎么能这样恶意的玩弄他人。

27

w0nglend

2019 年 5 月 30 日 via iPad

1

#4 #5
@Livid 恶意混淆危险命令 rm -rf --no-preserve-root /*

28

w0nglend

2019 年 5 月 30 日 via iPad

安全 tips：
redis 的端口用安全组 /iptables 加固；
重命名 CONFIG, FLUSHALL, FLUSHDB 等危险操作，，加上密码；
redis 使用单独用户，并使用 iptables 的 user 模块过滤此用户访问公网

29

mentalidade

2019 年 5 月 30 日

1

@kmahyyg #4 @Livid 容易让搜到这个问题的误操作，建议屏蔽掉

30

Constellation39

2019 年 5 月 30 日

@wwhc 同想

31

zerofiny

2019 年 5 月 30 日 via Android

应用用二级用户。安全组只开 80

32

Livid

MOD

PRO

2019 年 5 月 30 日

@MayKiller
@mentalidade

谢谢举报。那个账号，及其注册手机号，及其注册手机号所关联到的所有的其他小号，会被彻底 ban。

那两条会引起危险误操作的回复会被屏蔽。

33

Livid

MOD

PRO

2019 年 5 月 30 日

根据邮箱找到的另外一个关联小号 @kmahyygyyg 也同时被彻底 ban。

34

wlfeng

2019 年 5 月 30 日

ssh 不要使用密码登录啊，极度不安全

关于 · 帮助文档 · 自助推广系统 · 博客 · API · FAQ · Solana · 926 人在线 最高记录 6679 ·

Select Language

创意工作者们的社区

World is powered by solitude

VERSION: 3.9.8.5 · 28ms · UTC 22:49 · PVG 06:49 · LAX 14:49 · JFK 17:49
♥ Do have faith in what you're doing.