这是一个创建于 2079 天前的主题,其中的信息可能已经有所发展或是发生改变。
看论坛,最近阿里云的机器好热闹,好多机器被黑,而且攻击者都很明显的在 crontab 中添加定时任务,我们的机器也是被黑了,攻击者下载的病毒的域名都是 pastebin.com ,而且几乎都是一致的,出现这种情况,有没有可能是阿里云的机器有某些漏洞?抑或是某些友商恶意攻击阿里云机器? 我们也中招了 https://www.v2ex.com/t/537087#reply6 昨天自己在虚拟环境运行病毒,发现这货好强大,运行后,所有外部命令都被感染,ldd /usr/bin/ls 可以看到该软件依赖的库文件多了一个 libioset.so 的文件,该文件指向内存中的某个地址,其他所有命令几乎一样,程序会在 /etc/init.d 下生成 netconsole,function,watchdogs, ilogtail networks, 而且 ls 所依赖的 core-uitl 包也已被卸载,gblic 也被卸载,对应的核心库文件 libso-2.17.so 文件也被替换过, 对比过文件不一致,目前来看,大部分系统库文件都被替换了。
有一些机器直接关闭 watchdogs, ilogtail 就可以了,但有些不行,
我手动替换了一些被替换了核心库文件,rm -rf /etc/ls.so.cache LD_PRELOAD 重新指向新的核心库, 但查看后发现所有命令还是依赖 libioset.so 这个库, 感觉这病毒还挺厉害的,搞不定,撤了,准备重装系统了
 |
1
msg7086 2019-02-22 04:09:02 +08:00
Linux 服务器被黑唯一的出路就是重装系统。
难道你还想着能不重装系统解决问题? |
 |
2
Alfred328 2019-02-22 08:56:15 +08:00
知道是什么原因或漏洞导致的吗
|
 |
3
shoaly 2019-02-22 09:36:44 +08:00
阿里云 只是买服务器的, 系统都是你自己装的.... 这个漏洞阿里云 不背
|
 |
4
kernel 2019-02-22 09:40:49 +08:00
被黑前开了哪些端口?
|
 |
5
cojing 2019-02-22 09:42:26 +08:00
百分之 80 都是 docker redis weblogic thinkphp5 S2 或者 弱口令 进来的,建议端口只开必须的几个,22 3306 这种能爆破的做白名单,其他开放端口检查用了哪些服务或应用或组件,查一查时候有漏洞,打最新的补丁
|
 |
6
janes 2019-02-26 10:40:58 +08:00
装 busybox 清理妥妥的,分析可以参考:
https://mp.weixin.qq.com/s/3V0HVEREZWU8SkRWLspaxg |
Select Language