无标题文档
wdCP系统 (介绍,功能特性,运行环境,安装说明,演示,常见问题,使用教程) wdCDN系统 (介绍,功能特性,运行环境,安装说明,演示,常见问题,使用手册)
wdOS系统 (介绍,功能特性,运行环境,安装说明,演示,常见问题,使用教程) wdDNS系统 (介绍,功能特性,运行环境,安装说明,演示,常见问题,使用手册)
注册 发贴 提问 回复-必看必看 wddns免费智能 DNS 开通 本地或虚拟机使 用wdcp 一键包在mysql编 译时"卡住"
【300G高防】双线 无视攻击 wdcp官方技术支持/服务 阿里云8折优惠券 无敌云 腾讯云优惠中,现注册更有260代金额券赠送
返回列表 发帖
提问三步曲: 提问先看教程/FAQ索引(wdcp,wdcp_v3,一键包)及搜索,会让你更快解决问题
1 提供详细,如系统版本,wdcp版本,软件版本等及错误的详细信息,贴上论坛或截图发论坛
2 做过哪些操作或改动设置等

温馨提示:信息不详,很可能会没人理你!论坛有教程说明的,也可能没人理!因为,你懂的

[BUG反馈] 服务器被黑,大神们看看这个是哪个漏洞引起的呢?

首先感谢WDCP的大神们,给我们提供这么好的工具。遇到问题反馈出来,才能让WDCP越来越完善~~~
服务器环境:
阿里云   centos 6.8 64位  
安装的是 lanmp_v3.1
服务器被黑,大神们看看这个是哪个漏洞引起的呢?也顺便在这给大家提个醒~~~

QQ图片20170222102914.png
2017-2-22 10:38



QQ图片20170222102956.png
2017-2-22 10:38


QQ图片20170222103004.png
2017-2-22 10:38
小白一枚

本帖最后由 Terabyte 于 2017-2-23 22:25 编辑

看起来似乎是中了比特币挖矿的蠕虫/木马。

看看是否安装了Redis而没有设置授权密码且未限定访问IP, 因为Redis的漏洞被入侵了, 和WDCP并无关系。

用top 和ps -aux查看一下进程, 估计能看到例如 minerd,AnXqV, ddg.219/ddg.212之类的进程,犹如黑洞。
看看/opt下是否与minerd, 看看/tmp下是否有.zl, AnXqv, ddg之类的异物文件,

看看/root/.ssh, /var/spool/cron下是不是有吸血蚂蝗。

TOP

前天也一样啊。被腾讯给断网了
喜欢linux的代码。可现在还处于菜鸟阶段!

TOP

比较详细的解决方法,转载自:http://www.icnws.com/?p=189

1、关闭访问挖矿服务器的访问:
iptables -A INPUT -s xmr.crypto-pool.fr -j DROP 和 iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP

2、找到minerd程序:
find / -name minerd*
发现程序在/opt下面,同时发现另外的一个异常文件
KHK75NEOiq33和minerd

3、去掉执行权限
chmod -x KHK75NEOiq33 minerd

4、杀掉进程,kill或pkill随你喜欢
pkill minerd
pkill AnXqV

5、清除定时任务:
systemctl stop crond

我们的系统因为没有其他定时任务,所以可以直接这样,如果有需要自己手动备份自己的定时任务,然后清理掉其他的定时任务,情景分析后处理

6、清除文件
除了opt下面的两个异常文件需要清除,/tmp文件夹下也有文件需要清除,Aegis-<Guid(5A2C30A2-A87D-490A-9281-6765EDAD7CBA)>   AnXqV   ddg.217   ddg.218   ddg.219   duckduckgo.12.log   duckduckgo.17.log   duckduckgo.18.log   duckduckgo.19.log

这里的文件有个duckduckgo的,大约是翻墙用的搜索对应的进程有ddg.217/218/219

7、清除未知的授权
进入 ~/.ssh/目录,发现多个异常文件,包括authorized_keys、known_hosts等,需要移除authorized_keys中的未知授权,这里可以看到有REDIS000…的授权key,我们自己没有设置过,所以直接删除之

8、元凶分析
有说是redis低版本存在的一个漏洞,有人利用这个漏洞提升权限,然后放置了挖矿工具,所以就将默认的端口改了,密码改了,重新启动了服务,基本上能过一段时间了

TOP

返回列表