天涯论坛

 找回密码
 立即注册
搜索
查看: 67|回复: 2

处理服务器被挖矿的一次经历

[复制链接]

2996

主题

182

回帖

9920万

积分

论坛元老

Rank: 8Rank: 8

积分
99209276
发表于 2024-8-22 14:45:21 | 显示全部楼层 |阅读模式

早上来机构,客户报系统不可登陆了。我以为简单的应用挂机问题,后来发掘是cpu超200。直接使服务器宕机!猜测是被移植了挖矿程序,后来经过证实果然是。于是起始和植马的狠人斗智斗勇。用尽浑身解数最终解码。在全部过程中,发掘这个人是个狠人,办事不留痕迹,按时移植的漂美丽亮。假若有缘,能够交个伴侣一块探索渗透技术,哈哈!当个红帽子!

下面跟大众介绍这个狠人的招数,我为么说是个狠人,是有原由的。单纯的植马,那无所说运用个弱秘码其他渗透手段就能进入服务器。马删了就无所说了。这个马却是个狠马。被移植不说,文件属性还被更改为只能被添加,不准许被删除。这还不行,竟然还搞了个u属性(u-卖个关子)。当我发掘后只能运用chattr删除属性,然则发掘运用报错(不表示),熟练linux的都晓得,不表示便是最好的表示由于执行成功的才会这般然则查看时,那玩意竟然还在,真实头大啊。看着top后高高在上的cpu,真是有苦说不出哦!几经周折,发掘chattr给我替换了。找到原由,就能对症下药了。于是乎,安装chattr的包(e2fsprogs-这个需要按照你服务器的版本,我的是阿里云 linux),命令,yum -reinstall e2fsprogs -y,强制替换掉的命令。接下来便是刷刷的删除不应有的属性,接着rm干掉这玩意。接着重启应用,成功!真是出了一头汗!期盼本篇信息能够帮忙更加多处在被攻击却无从下手之人!





上一篇:记录网盾服务器被黑过程的排查和思考:续集
下一篇:Linux chattr 命令
回复

使用道具 举报

3047

主题

2万

回帖

9910万

积分

论坛元老

Rank: 8Rank: 8

积分
99109044
发表于 2024-10-3 11:31:36 | 显示全部楼层
期待更新、坐等、迫不及待等。
回复

使用道具 举报

3047

主题

2万

回帖

9910万

积分

论坛元老

Rank: 8Rank: 8

积分
99109044
发表于 2024-10-31 12:55:46 | 显示全部楼层
这夸赞甜到心里,让我感觉温暖无比。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

站点统计|Archiver|手机版|小黑屋|天涯论坛 ( 非经营性网站 )|网站地图

GMT+8, 2024-11-22 19:18 , Processed in 0.132217 second(s), 21 queries .

Powered by Discuz! X3.4

Copyright © 2001-2023, Tencent Cloud.