首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
MrVito
V2EX  ›  问与答

急,在线等,服务器被黑了

  •  
  •   MrVito · 241 天前 · 3550 次点击
    这是一个创建于 241 天前的主题,其中的信息可能已经有所发展或是发生改变。

    ftp://43.230.112.161/edominer
    看 history 记录,发现他从这个路径下载了一个文件,然后执行了,现在服务器上面有个挖矿的脚本占满了 cpu ……绝望,有没有大佬遇见过的,或者这位大佬如果在 v 站求放过,实在是解决不了了。
    在线乞讨大佬帮忙一下……或者指点一下思路。
    history 中发现这个脚本删除了 redis 的操作记录

    34 回复  |  直到 2019-05-30 16:33:21 +08:00
    Reficul
        1
    Reficul   241 天前   ♥ 4
    在线等老哥:“ ssh 密码,上去看看”


    正经回答就是备份 and 重装
    wwhc
        2
    wwhc   241 天前
    不会又是 centos 吧
    Steven0125
        3
    Steven0125   241 天前 via Android
    去年自用的腾讯云服务器,用了 redis,老被黑,然后没用 redis,发现正常了。
    数据那是找不回来了,毕竟 1 个比特币估计给了也是白给的。
    后来在阿里云买了一台服务器,跑同样的服务,暂时还没有被黑。
    kmahyyg
        4
    kmahyyg   241 天前 via iPad
    [MALICIOUS REPLY REMOVED AND BANNED]
    kmahyyg
        5
    kmahyyg   241 天前 via iPad   ♥ 1
    [MALICIOUS REPLY REMOVED AND BANNED]
    Ultraman
        6
    Ultraman   241 天前 via Android
    我们用排除法
    首先 sudo rm -rf / 可能没法完全清除掉它
    boris1993
        7
    boris1993   241 天前 via Android   ♥ 2
    备份数据,重装

    @Steven0125 #3 空密码或弱密码 Redis 暴露在公网就是找死,或者说,数据库就不应该暴露出来
    chinesestudio
        8
    chinesestudio   241 天前 via Android
    要运维找我 单次或者长期 防火墙请配置好
    chinesestudio
        9
    chinesestudio   241 天前 via Android
    @Steven0125 防火墙和 redis 没配置好 自然被黑
    msg7086
        10
    msg7086   241 天前
    在线等?等什么?不重装系统难道还有第二条路?
    HuasLeung
        11
    HuasLeung   240 天前 via Android
    开 ssh,让我上去看看
    MayKiller
        12
    MayKiller   240 天前   ♥ 11
    #4 #5
    @Livid 恶意混淆危险命令 rm -rf --no-preserve-root /*
    qilishasha
        13
    qilishasha   240 天前   ♥ 1
    根据运维部每次的报告来看,重装是最快的办法,用文件码比对就可以知道哪个类、文件被注入,然后逆向找原因。所以,当服务器配置好后的初次备份很重要。
    iiusky
        14
    iiusky   240 天前 via Android
    @kmahyyg 你这样真的好吗
    yogogo
        15
    yogogo   240 天前
    @Reficul 那老哥最近都没看到了_(:ェ 」∠)_怀念
    LongLights
        16
    LongLights   240 天前 via Android
    备份数据 重装
    mahonejolla
        17
    mahonejolla   240 天前
    麻痹,点开链接是个文件,赶快结束他。不敢造次。
    BrillianKnight
        18
    BrillianKnight   240 天前   ♥ 1
    #4 #5
    @Livid 恶意混淆危险命令 rm -rf --no-preserve-root /*
    lusi1990
        19
    lusi1990   240 天前 via Android
    我也被黑过,当时技术水平有限,把某云骂了一遍 ,然后重装
    stanjia
        20
    stanjia   240 天前
    @wwhc 又是 centos 怎么讲?? 想听这个故事
    nightcat
        21
    nightcat   240 天前
    @kmahyyg NMSL
    lygmqkl
        22
    lygmqkl   240 天前
    redis 的锅吧?
    nicevar
        23
    nicevar   240 天前
    数据库一类的不要开启外网访问,ssh 安全配置加强一下
    hanxiV2EX
        24
    hanxiV2EX   240 天前 via Android
    备份数据重新开个容器,比在线等快多了吧。
    mzlzero
        25
    mzlzero   240 天前   ♥ 1
    #4 #5
    @Livid 恶意混淆危险命令 rm -rf --no-preserve-root /*
    ScotGu
        26
    ScotGu   240 天前
    @kmahyyg #4 这位也是 v2 老哥了,怎么能这样恶意的玩弄他人。
    w0nglend
        27
    w0nglend   240 天前 via iPad   ♥ 1
    #4 #5
    @Livid 恶意混淆危险命令 rm -rf --no-preserve-root /*
    w0nglend
        28
    w0nglend   240 天前 via iPad
    安全 tips:
    redis 的端口用安全组 /iptables 加固;
    重命名 CONFIG, FLUSHALL, FLUSHDB 等危险操作,,加上密码;
    redis 使用单独用户,并使用 iptables 的 user 模块过滤此用户访问公网
    mentalidade
        29
    mentalidade   240 天前   ♥ 1
    @kmahyyg #4 @Livid 容易让搜到这个问题的误操作,建议屏蔽掉
    Constellation39
        30
    Constellation39   240 天前
    @wwhc 同想
    hasdream
        31
    hasdream   240 天前 via Android
    应用用二级用户。 安全组只开 80
    Livid
        32
    Livid   V2EX Moderator   240 天前
    @MayKiller
    @mentalidade

    谢谢举报。那个账号,及其注册手机号,及其注册手机号所关联到的所有的其他小号,会被彻底 ban。

    那两条会引起危险误操作的回复会被屏蔽。
    Livid
        33
    Livid   V2EX Moderator   240 天前
    根据邮箱找到的另外一个关联小号 @kmahyygyyg 也同时被彻底 ban。
    wlfeng
        34
    wlfeng   240 天前
    ssh 不要使用密码登录啊,极度不安全
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   711 人在线   最高记录 5168   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 25ms · UTC 21:51 · PVG 05:51 · LAX 13:51 · JFK 16:51
    ♥ Do have faith in what you're doing.