这是一个创建于 2350 天前的主题,其中的信息可能已经有所发展或是发生改变。
现网的 3 台 hadoop 服务器被挂马
这是我找到的挂马脚本
http://185.222.210.59/cr.sh
但是没找出入口在哪里
手工删除 crontab 任务后,会自动添加,感觉又一次执行了 上面那个脚本
目前没找到是哪个进程执行的,也没有找到入侵的入口在哪里……
目前是把 这个 ip 封禁掉,但是找不到守护进行 很不安心那
tcp 和 udp 的监听端口检查过没有问题
期间服务器已更换过外网 ip,禁止了 root 密码登陆,但是问题依旧,找不到那个守护进程
ps aux
链接: https://pan.baidu.com/s/1gV8z6eom2JQVnNuEddWQBA 密码: 4p9t
这是我找到的挂马脚本
http://185.222.210.59/cr.sh
但是没找出入口在哪里
手工删除 crontab 任务后,会自动添加,感觉又一次执行了 上面那个脚本
目前没找到是哪个进程执行的,也没有找到入侵的入口在哪里……
目前是把 这个 ip 封禁掉,但是找不到守护进行 很不安心那
tcp 和 udp 的监听端口检查过没有问题
期间服务器已更换过外网 ip,禁止了 root 密码登陆,但是问题依旧,找不到那个守护进程
ps aux
链接: https://pan.baidu.com/s/1gV8z6eom2JQVnNuEddWQBA 密码: 4p9t
 |
1
Devilker 2018-06-02 13:36:47 +08:00
把 YARN RM 的 8088 对外网开放了
|
|
2
Devilker 2018-06-02 13:37:59 +08:00  1
参考文章 https://paper.seebug.org/611/
很详细的 |
 |
5
jeffson 2018-06-02 14:14:34 +08:00
Mark
|
 |
6
neocanable 2018-06-02 14:49:52 +08:00
找到相同 version 的 linux,把 /bin/ /sbin /usr/bin /usr/sbin 下的可执行文件都做下 md5 比较,如果不对,直接替换。
曾经中过一个这样的 tail,替换了我的 cat/grep/tail/less/more,换回来就好了 |
 |
7
a7a2 2018-06-02 15:01:04 +08:00
把所有服务转移到新服务器并且请一个比你强的人去做
一个精通运维安全的就是业务代码本身有后门也能根据业务规则做到最大安全免于被入侵、破坏 从你问及找不着原因来就知道再自己搞也不太行 因为连第一入侵口都无找出来 再重新配置新服务器也一样 |
 |
8
Ansen OP |
 |
10
loveminds 2018-06-02 18:12:16 +08:00
你的 Yarn 或者其他的一些没有 Authentication 的 API 应该是暴露在公网的
|
 |
11
ThirdFlame 2018-06-02 20:12:41 +08:00
shell 执行后可能吧自己给删了。 也可能被 rootkit 了
|
|
12
Ansen OP |
|
13
loveminds 2018-06-02 20:31:59 +08:00 1
@Ansen 以后记得留意有没有暴露在公网的服务和接口,有些东西默认设置并没有验证和鉴权,像 Redis 也有类似的问题
|
 |
14
Greenm 2018-06-03 23:20:34 +08:00 via iPhone
最近 hadoop 被黑的人挺多的
|
Select Language