这是一个创建于 2250 天前的主题,其中的信息可能已经有所发展或是发生改变。
阿里云上的一台 ECS 上今早中了经典的 Watchdog 挖矿脚本,看起来似乎是跟最近的 Apache Solr 漏洞有关,早前 base64 解码定时任务脚本,脚本上有黑客留下的邮箱,大致就是说你很烦恼的话就发邮件给他,他会提供清理脚本。
这个脚本是有用的,不过今天遇到的这个,似乎改变了病毒运行的方式,在 ssh 登陆的时候就立马执行。
我现在 ssh 到这台 ECS,屏幕上就显示:
sed: cannot rename /etc/sedXU4lJe: Operation not permitted
sed: cannot rename /etc/sedIM7XCe: Operation not permitted
curl: (35) SSL connect error
bash: line 1: wget: command not found
然后才到正式登陆到系统
我是把拉病毒的在线粘贴板用 iptables 屏蔽了,还给 hosts 文件加了锁,干脆又把 wget 命令给干掉了,自然而然他的挖矿病毒就跑不起来了。
巡查了所有的定时任务 cron 及 ld.preload 相关的文件,都清理干净了,不过这个登陆即运行的设置估计是丢在.bashrc 或.bash_profile,果不其然,干掉,一切恢复正常。
有用到 Apache Solr 的,还是升级到最新版吧,很烦。话说黑客写的 shell 真的是考虑得十分周全,期待下一次来个 rootkit...
相关: https://developer.aliyun.com/article/725472
这个脚本是有用的,不过今天遇到的这个,似乎改变了病毒运行的方式,在 ssh 登陆的时候就立马执行。
我现在 ssh 到这台 ECS,屏幕上就显示:
sed: cannot rename /etc/sedXU4lJe: Operation not permitted
sed: cannot rename /etc/sedIM7XCe: Operation not permitted
curl: (35) SSL connect error
bash: line 1: wget: command not found
然后才到正式登陆到系统
我是把拉病毒的在线粘贴板用 iptables 屏蔽了,还给 hosts 文件加了锁,干脆又把 wget 命令给干掉了,自然而然他的挖矿病毒就跑不起来了。
巡查了所有的定时任务 cron 及 ld.preload 相关的文件,都清理干净了,不过这个登陆即运行的设置估计是丢在.bashrc 或.bash_profile,果不其然,干掉,一切恢复正常。
有用到 Apache Solr 的,还是升级到最新版吧,很烦。话说黑客写的 shell 真的是考虑得十分周全,期待下一次来个 rootkit...
相关: https://developer.aliyun.com/article/725472
 |
1
wiewiewie 2019 年 11 月 22 日
谢谢 提醒 我们业务 没用到 Apache Solr。
|
 |
2
Latin 2019 年 11 月 22 日
不严谨,不是 watchbog 吗 手动狗头
|
 |
3
saytesnake OP @Latin 是的,是 watchbog,哈哈..
|
 |
4
BlackZhu 2019 年 11 月 22 日
在? 你就是艾登皮尔斯?
|
|
5
saytesnake OP @BlackZhu 不是...话说 V2 有编辑已发布帖子的功能吗?晕倒
|
 |
6
bg9ega 2019 年 11 月 22 日
我也遇到过,CPU 跑满了,删掉又会重新下载,实在没办法干掉 wget 解决了。。。
|
 |
7
Vhc001 2019 年 11 月 22 日
> 脚本上有黑客留下的邮箱,大致就是说你很烦恼的话就发邮件给他,他会提供清理脚本。
良心,良心! |
Select Language