服务器被挂马 - V2EX

Home Sign Up Sign In

› Ubuntu

› Ubuntu Edge

› Snappy Ubuntu

› Uncomplicated Firewall

› upstart

This topic created in 2940 days ago, the information mentioned may be changed or developed.

现网的 3 台 hadoop 服务器被挂马
这是我找到的挂马脚本
http://185.222.210.59/cr.sh
但是没找出入口在哪里
手工删除 crontab 任务后，会自动添加，感觉又一次执行了上面那个脚本
目前没找到是哪个进程执行的，也没有找到入侵的入口在哪里……
目前是把这个 ip 封禁掉，但是找不到守护进行很不安心那

tcp 和 udp 的监听端口检查过没有问题
期间服务器已更换过外网 ip，禁止了 root 密码登陆，但是问题依旧，找不到那个守护进程

ps aux
链接: https://pan.baidu.com/s/1gV8z6eom2JQVnNuEddWQBA 密码: 4p9t

14 replies • 2018-06-03 23:20:34 +08:00

1

Devilker

Jun 2, 2018

把 YARN RM 的 8088 对外网开放了

2

Devilker

Jun 2, 2018

1

参考文章 https://paper.seebug.org/611/
很详细的

3

Ansen

OP

Jun 2, 2018

@Devilker #1 就是这个问题，非常感谢

4

Devilker

Jun 2, 2018

@Ansen NO 3Q 哈~

5

jeffson

Jun 2, 2018

Mark

6

neocanable

Jun 2, 2018

找到相同 version 的 linux，把 /bin/ /sbin /usr/bin /usr/sbin 下的可执行文件都做下 md5 比较，如果不对，直接替换。
曾经中过一个这样的 tail，替换了我的 cat/grep/tail/less/more，换回来就好了

7

a7a2

Jun 2, 2018

把所有服务转移到新服务器并且请一个比你强的人去做

一个精通运维安全的就是业务代码本身有后门也能根据业务规则做到最大安全免于被入侵、破坏

从你问及找不着原因来就知道再自己搞也不太行因为连第一入侵口都无找出来再重新配置新服务器也一样

8

Ansen

OP

Jun 2, 2018 via iPhone

@neocanable 这些已经做了发现完全 ok 才没想明白
@a7a2 我对 hadoop 这块不怎么了解，所以没有去排查也不知道怎么查，而且先入为主的认为是密码泄漏

9

Ansen

OP

Jun 2, 2018 via iPhone

@a7a2 知道自己搞不出来，马上就来发帖了，😄

10

loveminds

Jun 2, 2018

你的 Yarn 或者其他的一些没有 Authentication 的 API 应该是暴露在公网的

11

ThirdFlame

Jun 2, 2018

shell 执行后可能吧自己给删了。也可能被 rootkit 了

12

Ansen

OP

Jun 2, 2018 via iPhone

@loveminds
@ThirdFlame 就是一楼提到的问题

13

loveminds

Jun 2, 2018

1

@Ansen 以后记得留意有没有暴露在公网的服务和接口，有些东西默认设置并没有验证和鉴权，像 Redis 也有类似的问题

14

Greenm

Jun 3, 2018 via iPhone

最近 hadoop 被黑的人挺多的

About · Help · Advertise · Blog · API · FAQ · Solana · 2705 Online Highest 6679 ·

Select Language

创意工作者们的社区

World is powered by solitude

VERSION: 3.9.8.5 · 126ms · UTC 02:42 · PVG 10:42 · LAX 19:42 · JFK 22:42
♥ Do have faith in what you're doing.