V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
KarlRixon
V2EX  ›  Linux

自己的阿里学生机中了木马,被挖矿了,分享一下

  •  
  •   KarlRixon ·
    KarlRixon · 2020-12-31 19:49:37 +08:00 · 3882 次点击
    这是一个创建于 1428 天前的主题,其中的信息可能已经有所发展或是发生改变。

    昨天下午下班前收到两条手机短信,一条是阿里云安全监控发现一次异常登录,另一条是发现挖矿程序恶意脚本执行。

    当时我还在 ssh 连着服务器,top 查看了一下资源占用,发现 cpu 占用几乎 100%, 其中一个 mysqld 的进程占了很高。

    查看 /etc/.x/目录发现了 xhide 文件和 mysqld 文件,还有其他的文件,尝试删除一个文件,结果报 Operation not permitted,lsattr 发现所有文件都有 i 属性,用 chattr -i 后就可以删掉所有文件。

    用 lastb 查看最近登录失败的记录,发现最近几天每天都有一堆的登录尝试,感觉有可能被暴破了。

    然后发现~/.ssh/authorized_keys 文件昨晚被改动过,添加了一行记录,一定是攻击者利用漏洞上传的可以免密登录,删除以绝后患。

    用 crontab -l 查看定时任务没有发现异常。

    上网查了一下这个是门罗币挖矿木马,详细分析参考:腾讯主机安全(云镜)捕获 WatchBogMiner 挖矿木马新变种,约 8000 台服务器受控挖矿

    8 条回复    2021-01-02 18:59:14 +08:00
    eason1874
        1
    eason1874  
       2020-12-31 20:07:51 +08:00
    吓得我看了下自己的,结果发现啥事没有,几台的 CPU 常年在 6%以下,平均 3%

    可惜禁止挖币,不然我自己挖了
    boris93
        2
    boris93  
       2020-12-31 20:09:11 +08:00 via Android
    @eason1874 #1 跑个 BOINC 呗,造福社会
    boris93
        3
    boris93  
       2020-12-31 20:09:55 +08:00 via Android
    盲猜要么是 SSH 弱密码,要么是 Redis 弱密码
    shellic
        4
    shellic  
       2021-01-01 07:59:54 +08:00 via Android
    盲猜 redis 没配置好
    lengyihan
        5
    lengyihan  
       2021-01-01 11:12:45 +08:00 via Android
    正常。谁的学生机没被挖过。😂😂重装就好。换成密钥登录。
    BYF
        6
    BYF  
       2021-01-02 08:18:27 +08:00 via Android
    改 SSH 端口。禁止 root 登录。用秘钥登录。
    实力玩家再弄个 setenforce 1
    万事大吉😂
    notproblem
        7
    notproblem  
       2021-01-02 11:25:45 +08:00
    前几天我也是中了这个病毒,是因为 redis 没设密码~~~~crontab -l -u redis 查看定时任务才发现有
    elfive
        8
    elfive  
       2021-01-02 18:59:14 +08:00 via iPhone
    我遇到过一次,不过是不小心把 php-fpm 的 9000 端口暴露到了公网上,因为是在容器里面的服务,所以 CPU 没有占用到 100%,而且因为没有 Host 权限,所以只在 /tmp/下发现了这个挖矿脚本,直接删除容器,将 9000 端口仅暴露给局域网就搞定了。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   4164 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 32ms · UTC 05:31 · PVG 13:31 · LAX 21:31 · JFK 00:31
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.