V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
nealHuang
V2EX  ›  程序员

公司一台服务器被攻击辣

  •  
  •   nealHuang · 2023-04-21 18:54:11 +08:00 · 3146 次点击
    这是一个创建于 580 天前的主题,其中的信息可能已经有所发展或是发生改变。

    今天发现公司一台服务器出了点问题,同事装了病毒扫描工具后,找到下面的文件,文件的内容不知道是干嘛的:

    SERVER 89.147.111.226 80
    SERVER 51.195.42.59 8080
    SERVER 51.75.68.83 81
    ADMIN tdbVy16enNevo9vU
    ADMIN ueTMxp2aouTB
    ######## bot 1 ########
    IDENT Memmet
    REALNAME Alexander Simon
    NICKNAMES
    CHANNEL cOTfzV6WmNW22MrZIpY
    VHOST
    CMDCHAR #
    

    对于这种玩意,大哥们平时怎么防护

    第 1 条附言  ·  2023-04-21 19:46:22 +08:00
    补充下信息,之所以发现出问题了,是因为 docker 想重启容器的时候,发现起不来了,看来这个攻击是注入到容器里的
    13 条回复    2023-06-30 10:48:00 +08:00
    seers
        1
    seers  
       2023-04-21 18:58:32 +08:00 via Android
    看起来像是环境变量
    nealHuang
        2
    nealHuang  
    OP
       2023-04-21 19:05:25 +08:00
    @seers 这个是 cfg 文件,隔壁有个运行脚本,看不到内容,这些 ip 貌似都是公网 ip ,能 ping 通
    jackyzy823
        3
    jackyzy823  
       2023-04-21 19:24:43 +08:00 via Android
    感觉是基于 irc 的木马
    29EtwXn6t5wgM3fD
        4
    29EtwXn6t5wgM3fD  
       2023-04-21 19:41:10 +08:00
    IRC 机器人的配置文件
    nealHuang
        5
    nealHuang  
    OP
       2023-04-21 19:42:36 +08:00
    IRC 吗,我去了解下,第一次听
    kerb15
        6
    kerb15  
       2023-04-21 20:10:44 +08:00
    泰裤辣
    GoodRui
        7
    GoodRui  
       2023-04-21 22:12:58 +08:00
    楼主装的病毒扫描工具是什么?公司用户的一台服务器好像也中招了,一颗 CPU 全核心 100%负载,但是看 top ,htop 什么的都排查不出问题,docker 也是重启一下全起不来了…
    k1z
        8
    k1z  
       2023-04-21 22:25:07 +08:00
    @GoodRui 可以看下 top 是不是被改掉了, 加载了什么莫名其妙的库。 之前好像遇到过
    Quarter
        9
    Quarter  
       2023-04-21 22:36:15 +08:00 via iPhone
    被攻击真的是一件非常麻烦的事情,感觉就不干净了,哪哪都不舒服
    GoodRui
        10
    GoodRui  
       2023-04-21 22:37:24 +08:00
    @k1z 看了,没有,而且还安装了 htop 之类的其它显示进程的工具,一样看不出任何倪端。就前 32 核心全部 100%,后面的 32 个核心负载都在 5%以下。但是 top 之类的进程查看工具看到的所有进程 CPU 占用都在 1%左右。网络流量也几乎没有,磁盘 io 也很低很低。看了两天也没看出什么问题,本来要来 v 站求助大佬的,结果昨天重启后服务器失联了...现在在联系机房的运维人员,准备重装系统了...
    nealHuang
        11
    nealHuang  
    OP
       2023-04-22 13:58:35 +08:00
    @GoodRui 同事装的,不是我装的,不过他是问 chatGPT 的,你也可以问问看看
    dode
        12
    dode  
       2023-04-23 02:33:45 +08:00 via Android
    @GoodRui 你这是挖矿病毒
    AIyunfangyu
        13
    AIyunfangyu  
       2023-06-30 10:48:00 +08:00
    可以了解下我们防御,DDOS CC ,劫持挖矿都能防 V:with--tea
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5338 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 07:58 · PVG 15:58 · LAX 23:58 · JFK 02:58
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.