Board logo

标题: [BUG反馈] 服务器被黑,大神们看看这个是哪个漏洞引起的呢? [打印本页]

作者: 70898    时间: 2017-2-22 10:40     标题: 服务器被黑,大神们看看这个是哪个漏洞引起的呢?

首先感谢WDCP的大神们,给我们提供这么好的工具。遇到问题反馈出来,才能让WDCP越来越完善~~~
服务器环境:
阿里云   centos 6.8 64位  
安装的是 lanmp_v3.1
服务器被黑,大神们看看这个是哪个漏洞引起的呢?也顺便在这给大家提个醒~~~

QQ图片20170222102914.png
2017-2-22 10:38



QQ图片20170222102956.png
2017-2-22 10:38


QQ图片20170222103004.png
2017-2-22 10:38


图片附件: QQ图片20170222102914.png (2017-2-22 10:38, 23.29 KB) / 下载次数 3375
http://www.wdlinux.cn/bbs/attachment.php?aid=7080&k=affc60bf5becefa93d45b149e8ef6359&t=1711660494&sid=gFqZCQ



图片附件: QQ图片20170222102956.png (2017-2-22 10:38, 4.31 KB) / 下载次数 3334
http://www.wdlinux.cn/bbs/attachment.php?aid=7081&k=85a297c9b0a1d14a9a344d93cef6a36d&t=1711660494&sid=gFqZCQ



图片附件: QQ图片20170222103004.png (2017-2-22 10:38, 12.82 KB) / 下载次数 3324
http://www.wdlinux.cn/bbs/attachment.php?aid=7082&k=4bbf5c2d5931fc1713729f2dee3d6122&t=1711660494&sid=gFqZCQ


作者: Terabyte    时间: 2017-2-23 22:20

本帖最后由 Terabyte 于 2017-2-23 22:25 编辑

看起来似乎是中了比特币挖矿的蠕虫/木马。

看看是否安装了Redis而没有设置授权密码且未限定访问IP, 因为Redis的漏洞被入侵了, 和WDCP并无关系。

用top 和ps -aux查看一下进程, 估计能看到例如 minerd,AnXqV, ddg.219/ddg.212之类的进程,犹如黑洞。
看看/opt下是否与minerd, 看看/tmp下是否有.zl, AnXqv, ddg之类的异物文件,

看看/root/.ssh, /var/spool/cron下是不是有吸血蚂蝗。
作者: linuxiver    时间: 2017-2-24 11:32

前天也一样啊。被腾讯给断网了
作者: Terabyte    时间: 2017-2-24 13:22

比较详细的解决方法,转载自:http://www.icnws.com/?p=189

1、关闭访问挖矿服务器的访问:
iptables -A INPUT -s xmr.crypto-pool.fr -j DROP 和 iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP

2、找到minerd程序:
find / -name minerd*
发现程序在/opt下面,同时发现另外的一个异常文件
KHK75NEOiq33和minerd

3、去掉执行权限
chmod -x KHK75NEOiq33 minerd

4、杀掉进程,kill或pkill随你喜欢
pkill minerd
pkill AnXqV

5、清除定时任务:
systemctl stop crond

我们的系统因为没有其他定时任务,所以可以直接这样,如果有需要自己手动备份自己的定时任务,然后清理掉其他的定时任务,情景分析后处理

6、清除文件
除了opt下面的两个异常文件需要清除,/tmp文件夹下也有文件需要清除,Aegis-<Guid(5A2C30A2-A87D-490A-9281-6765EDAD7CBA)>   AnXqV   ddg.217   ddg.218   ddg.219   duckduckgo.12.log   duckduckgo.17.log   duckduckgo.18.log   duckduckgo.19.log

这里的文件有个duckduckgo的,大约是翻墙用的搜索对应的进程有ddg.217/218/219

7、清除未知的授权
进入 ~/.ssh/目录,发现多个异常文件,包括authorized_keys、known_hosts等,需要移除authorized_keys中的未知授权,这里可以看到有REDIS000…的授权key,我们自己没有设置过,所以直接删除之

8、元凶分析
有说是redis低版本存在的一个漏洞,有人利用这个漏洞提升权限,然后放置了挖矿工具,所以就将默认的端口改了,密码改了,重新启动了服务,基本上能过一段时间了




欢迎光临 WDlinux官方论坛 (http://www.wdlinux.cn/bbs/) Powered by Discuz! 7.2