V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
saytesnake
V2EX  ›  程序员

该死,又中了 Watchdog 改版挖矿病毒

  •  
  •   saytesnake · 2019-11-22 15:49:31 +08:00 · 2489 次点击
    这是一个创建于 1820 天前的主题,其中的信息可能已经有所发展或是发生改变。
    阿里云上的一台 ECS 上今早中了经典的 Watchdog 挖矿脚本,看起来似乎是跟最近的 Apache Solr 漏洞有关,早前 base64 解码定时任务脚本,脚本上有黑客留下的邮箱,大致就是说你很烦恼的话就发邮件给他,他会提供清理脚本。

    这个脚本是有用的,不过今天遇到的这个,似乎改变了病毒运行的方式,在 ssh 登陆的时候就立马执行。

    我现在 ssh 到这台 ECS,屏幕上就显示:

    sed: cannot rename /etc/sedXU4lJe: Operation not permitted
    sed: cannot rename /etc/sedIM7XCe: Operation not permitted
    curl: (35) SSL connect error
    bash: line 1: wget: command not found

    然后才到正式登陆到系统

    我是把拉病毒的在线粘贴板用 iptables 屏蔽了,还给 hosts 文件加了锁,干脆又把 wget 命令给干掉了,自然而然他的挖矿病毒就跑不起来了。

    巡查了所有的定时任务 cron 及 ld.preload 相关的文件,都清理干净了,不过这个登陆即运行的设置估计是丢在.bashrc 或.bash_profile,果不其然,干掉,一切恢复正常。

    有用到 Apache Solr 的,还是升级到最新版吧,很烦。话说黑客写的 shell 真的是考虑得十分周全,期待下一次来个 rootkit...

    相关: https://developer.aliyun.com/article/725472
    7 条回复    2019-11-22 16:29:34 +08:00
    wiewiewie
        1
    wiewiewie  
       2019-11-22 15:58:32 +08:00
    谢谢 提醒 我们业务 没用到 Apache Solr。
    Latin
        2
    Latin  
       2019-11-22 16:09:30 +08:00
    不严谨,不是 watchbog 吗 手动狗头
    saytesnake
        3
    saytesnake  
    OP
       2019-11-22 16:19:52 +08:00
    @Latin 是的,是 watchbog,哈哈..
    BlackZhu
        4
    BlackZhu  
       2019-11-22 16:20:28 +08:00
    在? 你就是艾登皮尔斯?
    saytesnake
        5
    saytesnake  
    OP
       2019-11-22 16:24:20 +08:00
    @BlackZhu 不是...话说 V2 有编辑已发布帖子的功能吗?晕倒
    bg9ega
        6
    bg9ega  
       2019-11-22 16:28:17 +08:00
    我也遇到过,CPU 跑满了,删掉又会重新下载,实在没办法干掉 wget 解决了。。。
    Vhc001
        7
    Vhc001  
       2019-11-22 16:29:34 +08:00
    > 脚本上有黑客留下的邮箱,大致就是说你很烦恼的话就发邮件给他,他会提供清理脚本。

    良心,良心!
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5409 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 08:38 · PVG 16:38 · LAX 00:38 · JFK 03:38
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.