记录一下本次遇到挖矿病毒的相关处理(是否搞定还看情况...)

被迫走上运维之路的java开发…
用的是阿里云的esc,这两天服务器频繁爆cpu,上去看了一下是成了别人的矿机,
开头疑是redis对公网开放导致导致黑客利用redis’的未授权访问漏洞,直接获取ECS的Root权限,被黑客利用向磁盘上写入了可疑文件.
由于服务器是交接过来的,环境搭建并不是由我们这边着手的,很多东西也不清楚.
打开redis的配置文件看到bing 127.0.0.1 是被注释掉的,并且密码也很简单…外包果然不靠谱…
所以将前面的 # 去掉,修改密码.
源头处理掉,接下来就是收拾残局了
首先,开头不重视我删掉一些恶意脚本以为就完了,然而隔天又重现了…
上阿里云仔细看了一下
在这里插入图片描述我照着解决方案看了一下,果然cron下有3个计划任务,redis,root,tomcat
其中root如下
在这里插入图片描述
果然…
我查了一下这个ip是德国的
反正不是什么好东西…
把这几个删了
期间还发现一个恶意脚本
在这里插入图片描述更改了几个系统命令,然后杀掉掉了不少系统后台进程
问题还挺多,
总之redis安全加固,然后检查定时任务,删除恶意脚本…重新配置ssh认证…就先这样了,咱也不太懂,毕竟只是个可怜的小后台…
有兴趣了解也可以看看这个
https://www.freebuf.com/column/211777.html

=============华丽的分割线
今天上阿里云看了一下,又有访问恶意域名,肯定有漏掉的东西,除了var/spool/cron之外,etc里面cron.* 之类文件夹里面的计划任务文件也看一下,果然,🤦‍,删了删了.
还有阿里云上面几个灰色的提醒没注意
在这里插入图片描述百度查了一下,还有个networkservice,sysguard,跟之前哪个update.sh一样,都在etc下…
照例chattr -i …然后删掉.
emm…明天再看看

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值