最近、問題が解決されるが、ドッキングウィンドウマイニングプログラムの下でRedisのサーバーで実行されるため、侵略されたが、ブロガーは、特に共有に、関連記事がよく書かれた参照してください。小型シリーズのマシンは黒テーマです
開発する必要がある場合、その後、さまざまなビジネスをインストールする上で、単一の物理マシン上で現在exsi仮想化プラットフォームアーキテクチャ、仮想複数の仮想マシン(ウイルスを採掘=>マンロークレジットxmrig-notls)開発者は、ドッキングウィンドウのRedisのベースのデータベースをインストールして、インストール要件をRedisの。開発に必要なパスワードがなかったので、それはパスワードが設定されていませんでした。したがって、リスクが来ました。しばらくすると、会社のネットワーク接続頻繁な中断ルーム、リモート切断3389、再接続SSH接続は、その後、問題のトラブルシューティングを始め、最終的に異常のRedisデータベース見つけことがわかった
上の図からは、データがRedisのことがわかります文字列は、データのハッカーを記入し、実行スクリプトのハッカーRedisのタイミングを許可し、大幅に変更されます。
I以下のハッカーのスクリプトは、それをダウンロードしている、と研究に興味のある学生は、研究からダウンロードすることができます。次のアドレスで:
https://shell-1251121573.cos.ap-guangzhou.myqcloud.com/tmp.tKOLZdySXb
br
Iハンドルの例外は、彼が本来のRedisのコンテナを削除してベースのドッキングウィンドウに新しいコンテナを作成し、設定されているRedisの、およびパスワードが設定されているので。この操作は、実サーバには影響しませんと、私は多くのことを気にしない、この事は、最後に来ました。新しい物理サーバーの検出が原因仮想マシン、いくつかの時間後に、CPUだけでなく、異常なことが多いプロンプトの仮想マシンのネットワーク部分に問題がたくさんあります。100%のCPU使用率、ネットワークトラフィックが大幅に、スケジュールされたタスクは空に、そして問題ので、私の推測はおそらくRedisのパスワードを設定されていないことが多いです。他の弱いパスワードの一括スキャンマシンに鉛が危険にさらされています。それではトロイの木馬鉱山機械の弱いパスワードの調査植えました。最後に、マシンの上にいくつかの異常を発見し、このマシンは、CPU占有率が高く、異常なプロセスの数が多いにも優れたネットワークトラフィックによってです
top -c
br
ViewサーバのCPU使用率
検出プロセスのpidは、明らかに問題が13427です。なじみのないURLの束が続きます。当初採掘トロイの木馬と判断
ps -ef 查看所有进程`
br
私たちは、豚が飛ぶときに、CPUが不足しない、異常なプロセスの束を発見しました。
ifconfig 查看一下网络流量。简直是巨大,我说为什么我的ssh经常掉线呢,宽带都被挤没了
br
确定了 pid为13427进程有问题,于是就开始排查了
ll /proc/13427
br
查看这个进程里面的的一些关联信息(由于13427进程id被我干掉了,有生成了新的13699进程,)
exe -> /var/tmp / user/sh
br
一般exe对应的就是执行的程序的路径,就像下面那个。对应 /usr/sbin/smbd
但是上面那个奇葩的路径什么鬼?一脸迷茫。
cd /var/tmp/ user/sh
br
根本进不去
cd /var/tmp/
br
进入这个目录也没有找到user/sh 这个文件路径啊,我顿时就迷茫了,难道病毒压根就没有这文件。但是不可能啊,明明就指向这个路径,怎么可能没有呢,难道隐藏了?执行了ls -a命令。也是没有发现任何隐藏的文件在同事的提醒下,于是我进入到 /var/tmp/ 执行了ls- l命令。
一般的ll,只会显示 ./和…/路径,可是多出来一个/是什么东西。如果不仔细,还真是发现不了。于是就猜测,黑客可能是把文件夹名称通过转义隐藏了,导致我们在/var/tmp目录下执行 cd / 只会回到根目录,而压根进不去黑客隐藏的目录。就在尝试了好多次都没有办法的时候,我突然想到,能不能通过给这个文件夹重命名呢,于是执行了如下命令
mv \ 111
br
就是把名字为\的文件夹重命名为111,结果奇迹出现了
重命名成功了。原来黑客利用了转移字符 \ 这个字符明明的文件夹,在linux下是不会显示任何东西的,只会显示一个空格。而你不会轻易发现。这个操作真是玩的很溜。现在知道问题了,而且已经重命名了,接下来执行查看进程看一下
ll /proc/13427
br
下面就显示正常了
exe ->/var/tmp/111/god/haiduc
br
这个路径就行黑客的木马路径了。然后果断删除这个111整个文件夹。然后整个系统的cpu和网络全部降下来了。
黑客还利用了定时任务,让木马每分钟的都启动
定时任务里面,也是隐藏了路径,开始看到这个路径,我也是一脸懵逼。
/var/tmp /user/miner
br
这样的奇怪的写法从来没有见过,在根目录下也找不到/user/miner这个路径。后来其实只要看成下面的写法就可以理解。
/var/tmp/\/user/miner
br
まあ、削除されたフォルダウイルスファイルは、その後、定期的なタスクを空にし、他のサーバーは何の問題もない捜査を始めました。おかげでティム・開発の同僚が私にインスピレーションを与え、私は一緒にこの問題を解決します。実際には、困難が霧を使用トロイの木馬、ハッカーをクリーンアップすることです。これは本当に賢いであることを見つけることができない多くの人々につながる、パスフォルダシフト文字変換を使用してください。
上記の私自身の考えのいくつか、正しい私に関心の波を見つける方法を歓迎して共有することがあります
著者:diyiday
オリジナルます。https://blog.csdn.net/diyiday/article/details/83755205