这是一个创建于 2705 天前的主题,其中的信息可能已经有所发展或是发生改变。
之前跟着车队上了一波腾讯云的车,寥寥草草搭了个 workpress 就放那一直没动。昨晚半夜腾讯云发短信告知后台被人暴力破解(设置了个弱密码。。)而且 cpu 飙到了 100%。 今天上去看了下,有个进程占了 80%以上的 cpu、内存和带宽,其中里面用到了‘ yiluzhuanqian.com ’这个网址,如下图。
进去了这个文件的目录,卧槽,直接找到了压缩包
初步感觉是破解放脚本都是自动化的,MLGB,准备换系统了
文件链接感兴趣的大佬可以分析分析
 | 1 marcosteam 2018-05-22 15:09:51 +08:00 via Android 一路赚钱是 17ce 搞的 |
 | 2 opengps 2018-05-22 15:13:07 +08:00 使用这种成品框架经常遇到这类问题,除非你及时跟上漏洞补丁,跟换系统没直接关系 |
 | 3 defunct9 2018-05-22 15:15:27 +08:00 一路赚钱么 |
 | 4 leafleave 2018-05-22 15:20:57 +08:00 via iPhone  1 我的是 WINDOWS 机器,也被放过,不过那个人的脚本写的好像有问题, 缺少一个依赖,然后那个脚本不停的报错,很搞笑 |
 | 6 jimmyczm OP @marcosteam 他这个是干嘛的,挖矿? |
 | 7 lsyk 2018-05-22 15:24:00 +08:00 ssh 别用默认端口 禁止 root 用户 ssh 登录。 |
| 10 defunct9 2018-05-22 15:52:11 +08:00 开 ssh,让我上去挖,哈哈。 |
 | 11 y10210118 2018-05-22 16:41:11 +08:00 楼主可以考虑采取如下措施,避免和预防对入侵事件: 1.服务器设置大写、小写、特殊字符、数字组成的 12-16 位的复杂密码 2.数据库如果不需要远程,请不要开启远程 3.如有 redis 请设置密码,如 redis 不需要远程,请不要开启远程 4.安全组设置只放行业务协议和端口,不建议放行所有协议所有端口,这样太危险 5.如果业务有用到 mysql 数据库,建议用跟云服务器同账号同地区的云数据库,首先同账号同地区的云数据库和云服务器内网互通,安全有保障,其次显著降低了服务器负载压力,另外,云数据库有自动备份功能(可以回档到 3 天之内任意时刻) 。 6.操作系统防火墙也不是摆设,必要的时候开启下防火墙做些安全规则,别安全组不设置防火墙也不设置,这样就太危险了 7. 也可以参考官方的入侵类问题排查思路进行排查处理: https://cloud.tencent.com/document/product/296/9604 |
 | 12 chenuu 2018-05-22 16:58:12 +08:00 门罗币,有个挖矿工具叫 xmrig |
 | 14 wr410 2018-05-22 17:06:44 +08:00 不要用什么一键安装包 也不要用那些成品的东西 最好自己动手安装搭建 至于密码爆破嘛,还是有可能的,只是我的密码 6 位纯数字,一年下来 auth 日志都几百 M 了都没看到有成功穷举的,真是醉了。 |
 | 17 Lentin 2018-05-22 18:09:44 +08:00 via iPhone 换 key 验证解千愁,何必死在密码上呢 |
 | 18 omph 2018-05-22 18:46:15 +08:00 入了一波,已关机,试问谁能攻破? |
 | 19 wweir 2018-05-23 07:31:31 +08:00 via Android 禁用 ssh 密码登录,停用非必要服务,比如:“ workpress ” 之前我的机器也被暴力破解过,现在懒得看相应的审计日志了,反正没人对我的小机会有特别关注,批量的手法也没法破 |
 | 20 GeforceGTX 2018-05-23 09:08:25 +08:00 我阿里云的 SSH 端口用安全组设置的仅我个人 IP 可以访问,不知道有没有防范作用! |
Select Language