刚装了个centos 云服务器还没设置完就被黑了...如图,
就安装了一个django的程序.
本人是linux新手.本来想重装的.但是上面又没有什么有价值的东西.就打算了解一下
这两个是什么程序? 怎么查找他是怎么进来的?全当学习一下linux安全吧.
看日志能看出他是怎么进来的吗?
回答:
新手的话,直接重装吧,重装完首先做好一系列安全策略,再做其它。
可以了解下,类似:
https://www.kaisir.com/2015/0...
http://leomars.blog.51cto.com...
http://blog.csdn.net/fgf00/ar...
回答:
1、系统漏洞。如果是未知0day这种,那就没办法了。
2、应用程序。新系统又没装其它软件。
多半是被ssh爆破了。。。最简单的就是重装系统,用强密码。先断网,如果对方没改日志的话,是可以看到如何黑进来的。
像这种程序,大都是工具批量操作的,不存在针对性。。。
回答:
看这名字,可能是挖矿类的程序 吧
回答:
是挖矿的,它伪装成了某个不确定的系统服务,只能重装了...
回答:
我晕,这是谁家的服务器呀!这不是被黑惨了!当成挖矿肉鸡了!
回答:
我们的一个小测试服务器中过这个病毒。这个应该是DDOS僵尸网路的病毒,占用的很多网路流量。
就像另外一个回答的那几个文章说的。病毒伪装成so文件,还注册了cron定时任务,自己复制好多份10个字母的随机名字,进程相互守护,而且伪装了proc信息。ps看到的是无害的普通进程名字。
很难杀,建议断网,按照那个文章多次才可以解决,把所有的副本、病毒体和定时任务都删除。
实在删不掉就重装好了。记得MySQL和SSH都要禁止root用户远程登录。这个病毒主要是远程猜测root密码。远程登录用别的用户,到时候sudo。
回答:
你是用命令cat /var/log/secure | grep Accepted就知道有哪些ip哪些用户名成功登陆过你的机器,
然后你再使用命令cat /var/log/secure | grep Accepted| grep -r 'ip' ip指你的ip地址,排除你以外的ip地址,如果发现非自己ip地址登录的记录,那么一般可以判定为是弱口令账号进来的
另外的要看你开启的服务了,这种挖矿机程序(cpu miner)一般都是自动种植的,常用的漏洞有redis空口令
有的也有Mysql弱口令,大多数弱口令类漏洞,要么就是你web应用的漏洞,这些漏洞大多数都需要提升权限才能变成root(如果你机器还没重装的话,我可以帮你分析一下,顺便取个样本,然后帮你清理)
以上是 刚装了个centos 云服务器还没设置完就被黑了...如图, 的全部内容, 来源链接: utcz.com/a/163191.html
