阿里云上的一台 ECS 上今早中了经典的 Watchdog 挖矿脚本,看起来似乎是跟最近的 Apache Solr 漏洞有关,早前 base64 解码定时任务脚本,脚本上有黑客留下的邮箱,大致就是说你很烦恼的话就发邮件给他,他会提供清理脚本。
这个脚本是有用的,不过今天遇到的这个,似乎改变了病毒运行的方式,在 ssh 登陆的时候就立马执行。
我现在 ssh 到这台 ECS,屏幕上就显示:
sed: cannot rename /etc/sedXU4lJe: Operation not permitted
sed: cannot rename /etc/sedIM7XCe: Operation not permitted
curl: (35) SSL connect error
bash: line 1: wget: command not found
然后才到正式登陆到系统
我是把拉病毒的在线粘贴板用 iptables 屏蔽了,还给 hosts 文件加了锁,干脆又把 wget 命令给干掉了,自然而然他的挖矿病毒就跑不起来了。
巡查了所有的定时任务 cron 及 ld.preload 相关的文件,都清理干净了,不过这个登陆即运行的设置估计是丢在.bashrc 或.bash_profile,果不其然,干掉,一切恢复正常。
有用到 Apache Solr 的,还是升级到最新版吧,很烦。话说黑客写的 shell 真的是考虑得十分周全,期待下一次来个 rootkit...
相关: https://developer.aliyun.com/article/725472
这个脚本是有用的,不过今天遇到的这个,似乎改变了病毒运行的方式,在 ssh 登陆的时候就立马执行。
我现在 ssh 到这台 ECS,屏幕上就显示:
sed: cannot rename /etc/sedXU4lJe: Operation not permitted
sed: cannot rename /etc/sedIM7XCe: Operation not permitted
curl: (35) SSL connect error
bash: line 1: wget: command not found
然后才到正式登陆到系统
我是把拉病毒的在线粘贴板用 iptables 屏蔽了,还给 hosts 文件加了锁,干脆又把 wget 命令给干掉了,自然而然他的挖矿病毒就跑不起来了。
巡查了所有的定时任务 cron 及 ld.preload 相关的文件,都清理干净了,不过这个登陆即运行的设置估计是丢在.bashrc 或.bash_profile,果不其然,干掉,一切恢复正常。
有用到 Apache Solr 的,还是升级到最新版吧,很烦。话说黑客写的 shell 真的是考虑得十分周全,期待下一次来个 rootkit...
相关: https://developer.aliyun.com/article/725472
Select Language