V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
librae
V2EX  ›  分享发现

记一次服务器被黑以及跟它们死磕的经历,文字简短,思绪悠长

  •  
  •   librae · 2017-03-18 08:45:23 +08:00 · 4349 次点击
    这是一个创建于 2807 天前的主题,其中的信息可能已经有所发展或是发生改变。

    昨晚 7 点多开始 swarm 掉线
    然后服务器满负荷运转,网站无法访问
    ssh 上去都卡得要死几乎动不了
    发现有一堆随机名字的二进制代码在后台不停重启运行
    /proc 都没法看
    然后找到一个几分钟前尝试过 r00t 登陆的授权失败记录, ip 地址 49.4.143.144
    全部 deny 掉

    Anywhere                   DENY        49.4.143.144
    

    然后删掉 /usr/bin /etc/init.d 等等目录下诸多随机名字的怪东西,但是过不久它们以一堆新随机名字复活
    还好估计那个 ip 被暂时禁掉,估计它们做不了啥有用的事
    当然还立马做了一件事就是更改 root 密码
    后来发现有乔装打扮成 gnome-terminal 的进程,也是不断重启,妈蛋我服务器有个屁的 gnome 啊,骗劳资
    但是无法溯源,未果
    后来看到 crontab.hourly 里面有个 gcc4.sh 的东西,果断删之
    重启两次服务器,又删了一大堆散落在服务器世界各地的怪东西

    获救

    早上 6 点开始死磕到现在,终于杀它们片甲不留

    第 1 条附言  ·  2017-03-18 11:30:41 +08:00

    昨天的情况,第一波干它是在20:00至22:00之间,断粮。
    第二波是在今早 06:00 开始,围歼。
    8点左右出现下降沿是因为服务器重启。9点以后基本是正常工作了。

    12 条回复    2017-03-18 12:51:07 +08:00
    doun
        1
    doun  
       2017-03-18 08:47:50 +08:00 via Android
    漏洞没有找到?
    ETiV
        2
    ETiV  
       2017-03-18 09:03:49 +08:00 via iPhone
    也许 /boot 里还有……
    swulling
        3
    swulling  
       2017-03-18 09:04:47 +08:00 via iPhone
    重装系统
    swulling
        4
    swulling  
       2017-03-18 09:05:21 +08:00 via iPhone   ❤️ 2
    被入侵不重装,留着后门过年么…
    bkmi
        5
    bkmi  
       2017-03-18 09:08:35 +08:00 via Android
    都这样了,还就改个密码,还不关闭密码登录
    lhbc
        6
    lhbc  
       2017-03-18 09:48:11 +08:00 via iPhone
    可能 ls ps 都被改了
    liangmishi
        7
    liangmishi  
       2017-03-18 09:53:07 +08:00 via Android
    不知道漏洞在哪下次还会来,重装也是一样的
    phrack
        8
    phrack  
       2017-03-18 10:19:00 +08:00 via Android
    什么傻吊黑客,开源 rootkit 那么多不知道用。

    不过 lz 也不要以为自己就删干净了,最好是数据备份直接重装。
    librae
        9
    librae  
    OP
       2017-03-18 11:13:16 +08:00
    @doun
    librae
        10
    librae  
    OP
       2017-03-18 11:17:21 +08:00
    @ETiV 谢谢
    @swulling 这台服务器算半开发用的,后面会直接换掉
    @bkmi 密码登录就没开过
    @lhbc 还没到这一步
    @liangmishi 对的,需要花点时间找找。主要是上面跑的东西杂了以后,啥都有可能有洞,得翻一遍。

    @phrack 哈哈,就是,并不高明。我猜测并没删干净,只是它们基本躺尸了,还断了粮草... 后面直接换服务器以后不会放这么多杂物在上面,每一个服务都是必要才会启动。
    freeming
        11
    freeming  
       2017-03-18 11:39:43 +08:00
    楼主,社工啊,反黑一手
    librae
        12
    librae  
    OP
       2017-03-18 12:51:07 +08:00 via iPhone
    @freeming 哈哈哈,研究下挖个坑下回直接让他丫往里跳
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2666 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 21ms · UTC 10:17 · PVG 18:17 · LAX 02:17 · JFK 05:17
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.