V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
lianglianglee
V2EX  ›  信息安全

今天发现服务器变成了挖矿肉鸡

  •  
  •   lianglianglee · 2020-05-24 20:50:38 +08:00 · 4649 次点击
    这是一个创建于 1670 天前的主题,其中的信息可能已经有所发展或是发生改变。

    今天登陆服务器,发现 CPU 一直 100%,发现 /var/tmp/bbb/bbb 占用了 99+的 CPU 。
    kill 后,等 20 秒又启动了。

    排查 corn

    有三个任务在相互关联启动。

    1. 启动 bbb 的一个
    2. 一个启动 cron 的
    3. 一个 download cron 任务的。 这个设计厉害了

    清理肉鸡程序

    1. 清除 cron

      文件被保护,删不掉,用 chattr -ia 去掉保护,依然无法删除,有点棘手哦 直接删除 job 内容

    2. 删除 bbb

    文件同样被保护

    把入侵的入口清理一下

    1. 清除 ssh 免密的私钥
    2. 改 ssh 端口

    又一个智障操作 端口改掉后,防火墙没改,连上了,艹。
    又用阿里云的救援连接,开了防火墙

    最后发现阿里云的网站提供的远程连接只支持 22 端口。改了端口无法用他们的网站连接服务器了,这。。。不是让人攻击吗?

    19 条回复    2020-06-13 02:16:47 +08:00
    opengps
        1
    opengps  
       2020-05-24 20:58:03 +08:00
    这情况其实挺常见的,至于渗透入口,分析不彻底没法下结论,毕竟进入一个房间并不一定只有门可以走,可能是窗户,可能是管道

    你从阿里云网站后台使用 VNC 登录,效果等同于物理机连接显示器不需要使用 22 端口的,而不是使用哪个远程工具去远程连接,那样必然会经过防火墙被你的修改给拦住
    cy476571989
        2
    cy476571989  
       2020-05-24 21:04:12 +08:00
    阿里云有对服务器的监控服务,可以设定报警规则:一旦 cpu 一段时间跑满 一定比例,比如:50% 就触发报警,它会提供短信通知,可以尝试一下。
    tulongtou
        3
    tulongtou  
       2020-05-24 21:10:03 +08:00
    好奇这是怎么攻进去的呢
    Oceanhime
        4
    Oceanhime  
       2020-05-24 21:15:07 +08:00
    感觉问题不一定出在 SSH, 还有可能是业务相关漏洞。
    不过利用漏洞的话, 没有运行 worldpress 之类的常见程序的话应该是针对性的攻击了
    nosmile
        5
    nosmile  
       2020-05-24 21:18:16 +08:00
    你找找有没有什么服务是弱口令或者默认配置,再看看你 ssh 是不是弱口令,最后用啊 D 查一下有没有 webshell 、查一下 web 日志等
    lianglianglee
        6
    lianglianglee  
    OP
       2020-05-24 21:31:04 +08:00
    @tulongtou 大概看了一下,说是 redis 的漏洞导致的,我前段时间使用了 redis on docker 也许是那个时候进去的
    lianglianglee
        7
    lianglianglee  
    OP
       2020-05-24 21:32:00 +08:00
    @opengps 现在把端口能关的都关了,前段时间做测试,开了非常多的端口
    lianglianglee
        8
    lianglianglee  
    OP
       2020-05-24 21:32:43 +08:00
    @Oceanhime 可能是 docker ?我最近因为在搞 docker,开了 docker 的 tcp
    renmu123
        9
    renmu123  
       2020-05-24 21:34:48 +08:00 via Android
    MongoDB 和 Redis 开启公网访问默认都没有密码,其实建议还是直接重装系统,你知道在系统哪里还藏着奇怪的代码
    lianglianglee
        10
    lianglianglee  
    OP
       2020-05-24 21:35:06 +08:00
    现在可疑的比较多,redis,docker socket,ssh 都有可能,现在把这些能关的都关了,不能关的改了端口,观察一段时间看看
    lianglianglee
        11
    lianglianglee  
    OP
       2020-05-24 21:36:39 +08:00
    @cy476571989 我这个是做各种玩具项目胡搞用的,没必要开告警
    lianglianglee
        12
    lianglianglee  
    OP
       2020-05-24 21:38:36 +08:00
    @renmu123 这些都有可能,已经关闭了,再观察两天
    hzqim
        13
    hzqim  
       2020-05-24 21:46:17 +08:00
    安装 fail2ban,禁止 root 登陆。
    realpg
        14
    realpg  
       2020-05-24 21:55:21 +08:00
    我猜你是 CENTOS
    lianglianglee
        15
    lianglianglee  
    OP
       2020-05-24 21:58:39 +08:00
    @realpg 啧啧啧,大部分都是 centos 吧
    lianglianglee
        16
    lianglianglee  
    OP
       2020-05-24 21:58:57 +08:00
    @hzqim 让我搜搜是个啥
    Oceanhime
        17
    Oceanhime  
       2020-05-24 23:05:34 +08:00
    @lianglianglee #10 做测试也不一定非要对外网暴露端口, 用代理连进内网就行。
    Jirajine
        18
    Jirajine  
       2020-05-24 23:21:40 +08:00 via Android
    redis 默认无密码加上 docker 端口映射暴露出导致被黑的光在本站就看到好多次了。
    chipuheado
        19
    chipuheado  
       2020-06-13 02:16:47 +08:00
    一开始架设的时候就要做好防护。
    装 DenyHosts,Fail2Ban
    禁用 root 登录
    设置无密码登录
    修改 ssh 端口(阿里云不让改就搬家吧……)
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1454 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 17:17 · PVG 01:17 · LAX 09:17 · JFK 12:17
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.