急，在线等，服务器被黑了 - V2EX

Home Sign Up Sign In

This topic created in 2584 days ago, the information mentioned may be changed or developed.

ftp://43.230.112.161/edominer
看 history 记录，发现他从这个路径下载了一个文件，然后执行了，现在服务器上面有个挖矿的脚本占满了 cpu ……绝望，有没有大佬遇见过的，或者这位大佬如果在 v 站求放过，实在是解决不了了。
在线乞讨大佬帮忙一下……或者指点一下思路。
history 中发现这个脚本删除了 redis 的操作记录

34 replies • 2019-05-30 16:33:21 +08:00

1

Reficul

May 30, 2019

4

在线等老哥：“ ssh 密码，上去看看”

正经回答就是备份 and 重装

2

wwhc

May 30, 2019

不会又是 centos 吧

3

Steven0125

May 30, 2019 via Android

去年自用的腾讯云服务器，用了 redis，老被黑，然后没用 redis，发现正常了。
数据那是找不回来了，毕竟 1 个比特币估计给了也是白给的。
后来在阿里云买了一台服务器，跑同样的服务，暂时还没有被黑。

4

kmahyyg

May 30, 2019 via iPad

[MALICIOUS REPLY REMOVED AND BANNED]

5

kmahyyg

May 30, 2019 via iPad

1

[MALICIOUS REPLY REMOVED AND BANNED]

6

Ultraman

May 30, 2019 via Android

我们用排除法
首先 sudo rm -rf / 可能没法完全清除掉它

7

boris1993

May 30, 2019 via Android

2

备份数据，重装

@Steven0125 #3 空密码或弱密码 Redis 暴露在公网就是找死，或者说，数据库就不应该暴露出来

8

chinesestudio

May 30, 2019 via Android

要运维找我单次或者长期防火墙请配置好

9

chinesestudio

May 30, 2019 via Android

@Steven0125 防火墙和 redis 没配置好自然被黑

10

msg7086

May 30, 2019

在线等？等什么？不重装系统难道还有第二条路？

11

BCy66drFCvk1Ou87

May 30, 2019 via Android

开 ssh，让我上去看看

12

vB4h3r2AS7wOYkY0

May 30, 2019

11

#4 #5
@Livid 恶意混淆危险命令 rm -rf --no-preserve-root /*

13

qilishasha

May 30, 2019

1

根据运维部每次的报告来看，重装是最快的办法，用文件码比对就可以知道哪个类、文件被注入，然后逆向找原因。所以，当服务器配置好后的初次备份很重要。

14

iiusky

May 30, 2019 via Android

@kmahyyg 你这样真的好吗

15

yogogo

May 30, 2019

@Reficul 那老哥最近都没看到了_(:ｪ」∠)_怀念

16

LongLights

May 30, 2019 via Android

备份数据重装

17

mahonejolla

May 30, 2019

麻痹，点开链接是个文件，赶快结束他。不敢造次。

18

BrillianKnight

May 30, 2019

1

#4 #5
@Livid 恶意混淆危险命令 rm -rf --no-preserve-root /*

19

lusi1990

May 30, 2019 via Android

我也被黑过，当时技术水平有限，把某云骂了一遍，然后重装

20

stanjia

May 30, 2019

@wwhc 又是 centos 怎么讲？？想听这个故事

21

nightcat

May 30, 2019

22

lygmqkl

May 30, 2019

redis 的锅吧？

23

nicevar

May 30, 2019

数据库一类的不要开启外网访问，ssh 安全配置加强一下

24

hanxiV2EX

May 30, 2019 via Android

备份数据重新开个容器，比在线等快多了吧。

25

mzlzero

May 30, 2019

1

#4 #5
@Livid 恶意混淆危险命令 rm -rf --no-preserve-root /*

26

ScotGu

May 30, 2019

@kmahyyg #4 这位也是 v2 老哥了，怎么能这样恶意的玩弄他人。

27

w0nglend

May 30, 2019 via iPad

1

#4 #5
@Livid 恶意混淆危险命令 rm -rf --no-preserve-root /*

28

w0nglend

May 30, 2019 via iPad

安全 tips：
redis 的端口用安全组 /iptables 加固；
重命名 CONFIG, FLUSHALL, FLUSHDB 等危险操作，，加上密码；
redis 使用单独用户，并使用 iptables 的 user 模块过滤此用户访问公网

29

mentalidade

May 30, 2019

1

@kmahyyg #4 @Livid 容易让搜到这个问题的误操作，建议屏蔽掉

30

Constellation39

May 30, 2019

@wwhc 同想

31

zerofiny

May 30, 2019 via Android

应用用二级用户。安全组只开 80

32

Livid

MOD

PRO

May 30, 2019

@MayKiller
@mentalidade

谢谢举报。那个账号，及其注册手机号，及其注册手机号所关联到的所有的其他小号，会被彻底 ban。

那两条会引起危险误操作的回复会被屏蔽。

33

Livid

MOD

PRO

May 30, 2019

根据邮箱找到的另外一个关联小号 @kmahyygyyg 也同时被彻底 ban。

34

wlfeng

May 30, 2019

ssh 不要使用密码登录啊，极度不安全

About · Help · Advertise · Blog · API · FAQ · Solana · 2727 Online Highest 6679 ·

Select Language

创意工作者们的社区

World is powered by solitude

VERSION: 3.9.8.5 · 225ms · UTC 15:32 · PVG 23:32 · LAX 08:32 · JFK 11:32
♥ Do have faith in what you're doing.