公司一台服务器被攻击辣

2023-04-21 18:54:11 +08:00
 nealHuang

今天发现公司一台服务器出了点问题,同事装了病毒扫描工具后,找到下面的文件,文件的内容不知道是干嘛的:

SERVER 89.147.111.226 80
SERVER 51.195.42.59 8080
SERVER 51.75.68.83 81
ADMIN tdbVy16enNevo9vU
ADMIN ueTMxp2aouTB
######## bot 1 ########
IDENT Memmet
REALNAME Alexander Simon
NICKNAMES
CHANNEL cOTfzV6WmNW22MrZIpY
VHOST
CMDCHAR #

对于这种玩意,大哥们平时怎么防护

3210 次点击
所在节点    程序员
13 条回复
seers
2023-04-21 18:58:32 +08:00
看起来像是环境变量
nealHuang
2023-04-21 19:05:25 +08:00
@seers 这个是 cfg 文件,隔壁有个运行脚本,看不到内容,这些 ip 貌似都是公网 ip ,能 ping 通
jackyzy823
2023-04-21 19:24:43 +08:00
感觉是基于 irc 的木马
29EtwXn6t5wgM3fD
2023-04-21 19:41:10 +08:00
IRC 机器人的配置文件
nealHuang
2023-04-21 19:42:36 +08:00
IRC 吗,我去了解下,第一次听
kerb15
2023-04-21 20:10:44 +08:00
泰裤辣
GoodRui
2023-04-21 22:12:58 +08:00
楼主装的病毒扫描工具是什么?公司用户的一台服务器好像也中招了,一颗 CPU 全核心 100%负载,但是看 top ,htop 什么的都排查不出问题,docker 也是重启一下全起不来了…
k1z
2023-04-21 22:25:07 +08:00
@GoodRui 可以看下 top 是不是被改掉了, 加载了什么莫名其妙的库。 之前好像遇到过
Quarter
2023-04-21 22:36:15 +08:00
被攻击真的是一件非常麻烦的事情,感觉就不干净了,哪哪都不舒服
GoodRui
2023-04-21 22:37:24 +08:00
@k1z 看了,没有,而且还安装了 htop 之类的其它显示进程的工具,一样看不出任何倪端。就前 32 核心全部 100%,后面的 32 个核心负载都在 5%以下。但是 top 之类的进程查看工具看到的所有进程 CPU 占用都在 1%左右。网络流量也几乎没有,磁盘 io 也很低很低。看了两天也没看出什么问题,本来要来 v 站求助大佬的,结果昨天重启后服务器失联了...现在在联系机房的运维人员,准备重装系统了...
nealHuang
2023-04-22 13:58:35 +08:00
@GoodRui 同事装的,不是我装的,不过他是问 chatGPT 的,你也可以问问看看
dode
2023-04-23 02:33:45 +08:00
@GoodRui 你这是挖矿病毒
AIyunfangyu
2023-06-30 10:48:00 +08:00
可以了解下我们防御,DDOS CC ,劫持挖矿都能防 V:with--tea

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://tanronggui.xyz/t/934411

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX