V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
yuedingwangji
V2EX  ›  问与答

另开一贴,说下服务器被入侵

  •  
  •   yuedingwangji · 2019-02-22 02:47:07 +08:00 · 2114 次点击
    这是一个创建于 1861 天前的主题,其中的信息可能已经有所发展或是发生改变。

    看论坛,最近阿里云的机器好热闹,好多机器被黑,而且攻击者都很明显的在 crontab 中添加定时任务,我们的机器也是被黑了,攻击者下载的病毒的域名都是 pastebin.com ,而且几乎都是一致的,出现这种情况,有没有可能是阿里云的机器有某些漏洞?抑或是某些友商恶意攻击阿里云机器? 我们也中招了 https://www.v2ex.com/t/537087#reply6 昨天自己在虚拟环境运行病毒,发现这货好强大,运行后,所有外部命令都被感染,ldd /usr/bin/ls 可以看到该软件依赖的库文件多了一个 libioset.so 的文件,该文件指向内存中的某个地址,其他所有命令几乎一样,程序会在 /etc/init.d 下生成 netconsole,function,watchdogs, ilogtail networks, 而且 ls 所依赖的 core-uitl 包也已被卸载,gblic 也被卸载,对应的核心库文件 libso-2.17.so 文件也被替换过, 对比过文件不一致,目前来看,大部分系统库文件都被替换了。

    有一些机器直接关闭 watchdogs, ilogtail 就可以了,但有些不行,
    

    我手动替换了一些被替换了核心库文件,rm -rf /etc/ls.so.cache LD_PRELOAD 重新指向新的核心库, 但查看后发现所有命令还是依赖 libioset.so 这个库, 感觉这病毒还挺厉害的,搞不定,撤了,准备重装系统了

    6 条回复    2019-02-26 10:40:58 +08:00
    msg7086
        1
    msg7086  
       2019-02-22 04:09:02 +08:00
    Linux 服务器被黑唯一的出路就是重装系统。

    难道你还想着能不重装系统解决问题?
    Alfred328
        2
    Alfred328  
       2019-02-22 08:56:15 +08:00
    知道是什么原因或漏洞导致的吗
    shoaly
        3
    shoaly  
       2019-02-22 09:36:44 +08:00
    阿里云 只是买服务器的, 系统都是你自己装的.... 这个漏洞阿里云 不背
    kernel
        4
    kernel  
       2019-02-22 09:40:49 +08:00
    被黑前开了哪些端口?
    cojing
        5
    cojing  
       2019-02-22 09:42:26 +08:00
    百分之 80 都是 docker redis weblogic thinkphp5 S2 或者 弱口令 进来的,建议端口只开必须的几个,22 3306 这种能爆破的做白名单,其他开放端口检查用了哪些服务或应用或组件,查一查时候有漏洞,打最新的补丁
    janes
        6
    janes  
       2019-02-26 10:40:58 +08:00
    装 busybox 清理妥妥的,分析可以参考:
    https://mp.weixin.qq.com/s/3V0HVEREZWU8SkRWLspaxg
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   1198 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 18:12 · PVG 02:12 · LAX 11:12 · JFK 14:12
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.