昨晚 7 点多开始 swarm 掉线
然后服务器满负荷运转,网站无法访问
ssh 上去都卡得要死几乎动不了
发现有一堆随机名字的二进制代码在后台不停重启运行
/proc
都没法看
然后找到一个几分钟前尝试过 r00t
登陆的授权失败记录, ip 地址 49.4.143.144
全部 deny 掉
Anywhere DENY 49.4.143.144
然后删掉 /usr/bin
/etc/init.d
等等目录下诸多随机名字的怪东西,但是过不久它们以一堆新随机名字复活
还好估计那个 ip 被暂时禁掉,估计它们做不了啥有用的事
当然还立马做了一件事就是更改 root 密码
后来发现有乔装打扮成 gnome-terminal
的进程,也是不断重启,妈蛋我服务器有个屁的 gnome 啊,骗劳资
但是无法溯源,未果
后来看到 crontab.hourly 里面有个 gcc4.sh
的东西,果断删之
重启两次服务器,又删了一大堆散落在服务器世界各地的怪东西
获救
早上 6 点开始死磕到现在,终于杀它们片甲不留
昨天的情况,第一波干它是在20:00至22:00之间,断粮。
第二波是在今早 06:00 开始,围歼。
8点左右出现下降沿是因为服务器重启。9点以后基本是正常工作了。
1
doun 2017-03-18 08:47:50 +08:00 via Android
漏洞没有找到?
|
2
ETiV 2017-03-18 09:03:49 +08:00 via iPhone
也许 /boot 里还有……
|
3
swulling 2017-03-18 09:04:47 +08:00 via iPhone
重装系统
|
4
swulling 2017-03-18 09:05:21 +08:00 via iPhone 2
被入侵不重装,留着后门过年么…
|
5
bkmi 2017-03-18 09:08:35 +08:00 via Android
都这样了,还就改个密码,还不关闭密码登录
|
6
lhbc 2017-03-18 09:48:11 +08:00 via iPhone
可能 ls ps 都被改了
|
7
liangmishi 2017-03-18 09:53:07 +08:00 via Android
不知道漏洞在哪下次还会来,重装也是一样的
|
8
phrack 2017-03-18 10:19:00 +08:00 via Android
什么傻吊黑客,开源 rootkit 那么多不知道用。
不过 lz 也不要以为自己就删干净了,最好是数据备份直接重装。 |
10
librae OP |
11
freeming 2017-03-18 11:39:43 +08:00
楼主,社工啊,反黑一手
|