1
gamecreating 2018-09-07 10:24:12 +08:00
内鬼
|
2
VisionTheta OP @gamecreating 我觉得内鬼的可能性比较小。这个服务器一直没什么人用。而且 root 账户更是没人使用。自己有自己的用户名。另外,半夜三点多操作半小时,这在过往的登陆历史中,这样的用户非常少见。
|
3
v2410117 2018-09-07 10:37:17 +08:00
这个很正常啊,你能做的就是 kill 掉程序,把机器加固,防止再次中招
之前我的机器因为 redis 没密码被挖矿,也只能自个处理了算了!毕竟这种东西 jc 怎么会管你 反正我觉得通过被入侵发现自己哪里防护不足,算是收获吧! |
4
jjc27017 2018-09-07 10:47:06 +08:00
检查 crontab 之类的,看有没有其他后门进程,监控进程,更换 ssh 端口,用公私钥登录,开防火墙,去掉不知名的进程。需要检查的是有没有进程残留和监控进程,然后时不时留意一下 CPU 使用高的那些进程有没有异常。
|
5
VisionTheta OP @jjc27017 我刚才看了 auth.log 发现 crontab 好像会触发 root 用户来执行用户的任务? 确实是刚开 crontab 没多久,就中招了。另外,这个 auth.log 显示确实是在扫描弱口令,而且,入侵完我的机器还在扫描。另外,貌似把自己机器的密钥加进去了,还把密钥存储的位置给改了。。我觉得就是有一套工具完成这一套的流程的。。
|
6
natforum 2018-09-07 10:53:12 +08:00
内网放个蜜罐服务器
|
7
blacklee 2018-09-07 11:08:33 +08:00
采用以下策略,是否足够安全?
1. 禁用 root 远程登录 2. 禁用密码、只允许用密钥登录 |
8
yanyuechuixue 2018-09-07 12:13:33 +08:00 via Android
看下钱包地址是不是矿池的,如果是,就联系下矿池看看能不能获取他的联系方式或封掉他。
如果不是矿池, google 搜索一下这个地址看看有没有啥发现。 如果什么发现都没有,就监控这个地址,看他和哪些地址坐了交易,然后去查那些地址。 也许我还年轻,遇到这种事就像不惜代价玩死他 |
9
1747479654 2018-09-07 12:32:00 +08:00
很多矿池的钱包地址都是私有钱包生成,你根本无法封掉.
唯一可行办法是追踪交易,但是别人只要混合交易了几次(就是洗币)你也没戏. |
10
qwa2013 2018-09-07 12:32:25 +08:00
@yanyuechuixue 没啥卵用老哥 xmr 可以隐藏转账记录。。。。
|
11
mistergo 2018-09-07 12:41:50 +08:00
我们的服务器好像也有这个问题。每天凌晨 3 点左右开始。。。
|
12
jadec0der 2018-09-07 13:47:50 +08:00 via Android
XMR 的话基本没办法从钱包地址查到,好好加固服务器吧
|