刚装了个centos 云服务器还没设置完就被黑了...如图,

就安装了一个django的程序.
本人是linux新手.本来想重装的.但是上面又没有什么有价值的东西.就打算了解一下
这两个是什么程序? 怎么查找他是怎么进来的?全当学习一下linux安全吧.
看日志能看出他是怎么进来的吗?

图片描述

阅读 5k
7 个回答

1、系统漏洞。如果是未知0day这种,那就没办法了。

2、应用程序。新系统又没装其它软件。

多半是被ssh爆破了。。。最简单的就是重装系统,用强密码。先断网,如果对方没改日志的话,是可以看到如何黑进来的。

像这种程序,大都是工具批量操作的,不存在针对性。。。

看这名字,可能是挖矿类的程序 吧

是挖矿的,它伪装成了某个不确定的系统服务,只能重装了...

我晕,这是谁家的服务器呀!这不是被黑惨了!当成挖矿肉鸡了!

我们的一个小测试服务器中过这个病毒。这个应该是DDOS僵尸网路的病毒,占用的很多网路流量。
就像另外一个回答的那几个文章说的。病毒伪装成so文件,还注册了cron定时任务,自己复制好多份10个字母的随机名字,进程相互守护,而且伪装了proc信息。ps看到的是无害的普通进程名字。
很难杀,建议断网,按照那个文章多次才可以解决,把所有的副本、病毒体和定时任务都删除。
实在删不掉就重装好了。记得MySQL和SSH都要禁止root用户远程登录。这个病毒主要是远程猜测root密码。远程登录用别的用户,到时候sudo。

你是用命令cat /var/log/secure | grep Accepted就知道有哪些ip哪些用户名成功登陆过你的机器,
然后你再使用命令cat /var/log/secure | grep Accepted| grep -r 'ip' ip指你的ip地址,排除你以外的ip地址,如果发现非自己ip地址登录的记录,那么一般可以判定为是弱口令账号进来的

另外的要看你开启的服务了,这种挖矿机程序(cpu miner)一般都是自动种植的,常用的漏洞有redis空口令
有的也有Mysql弱口令,大多数弱口令类漏洞,要么就是你web应用的漏洞,这些漏洞大多数都需要提升权限才能变成root(如果你机器还没重装的话,我可以帮你分析一下,顺便取个样本,然后帮你清理)

撰写回答
你尚未登录,登录后可以
  • 和开发者交流问题的细节
  • 关注并接收问题和回答的更新提醒
  • 参与内容的编辑和改进,让解决方法与时俱进
推荐问题