服務器被刷了?
最近阿里云總是提示各種風險,只是簡單處理,沒太在意,
今天想讀取服務器的一個 靜態檔案,總是失敗,偶爾成功一兩次,連接阿里云服務器也總是掛,一度懷疑公司網路的問題,然后通過遠程打包的時候也掛了一次,說明肯定是服務器有問題了,
回家發現是 Yapi 的一個漏洞導致會被挖礦,于是趕緊禁用 Yapi 的相關服務,
懷疑可能有殘留檔案,那就得好好查查,首先根據阿里云報警資訊里面的檔案路徑排查,該洗掉的洗掉,
1. 排查到一例:
根據這個地址排查到,這是貓池,進而得到他的偷竊錢包地址,
貓池地址:https://c3pool.com/cn/
** 竟然有 277 個礦工為期服務,還賺了好幾百,**
** 0.0444 = 55 人民幣, 0.067/0.00455 + 55 == 976 人民幣, 接近 1 千塊,用著別人的服務器,轉自己的錢, *
錢包地址是:43sEd48rjD2TpXjv7ptYWq1XWLGfpRKw25w1XtNd7rQDFpxrtcvu6KrNnmiX2Ui3Zb2rqEmdbGcg4gdW1ptApHGjAc6mqww
后面可以監控看看,他到底能賺多少,
2. 接著往下追查,發現第二個礦機程式:
目前沒有量,
發現另外一個問題:
來自上海阿里云服務器的某人,
3. 發現和第一條相同的記錄:
43sEd48rjD2TpXjv7ptYWq1XWLGfpRKw25w1XtNd7rQDFpxrtcvu6KrNnmiX2Ui3Zb2rqEmdbGcg4gdW1ptApHGjAc6mqww
3.1 發現第三例:
4. 發現特例:
5. 又發現一例:
46n4YeKAjUp2FcJnx8SFEb5CMK3kMRJ9o9MEuCzWtv2VEF5LYeq6TJKSWV3h4sEj4CQiUmsb2dNMEQcKJZJM8zCYFp7wFoy
發現上面的惡意程式,還保存了檔案到本地,已經洗掉處理,
進一步發現
所有的域名都從 https://jhx15.zzlxrj.com/Uploads/image/goods/2021-06-07/mysql.tar.gz 下載資料,之前也有,說明肯定是該服務器的使用人操作,
原來是你!!!
鄭州連續軟體技術有限公司,看來得深扒一下,
關聯了這么多域名,一看就不是正經的公司,
既然查到了公司,那就QQ 聯系下唄,
完整郵箱是:domainabuse@service.aliyun.com
新注冊了很多域名嘛,
至此,已經排查完畢,后面就看怎么玩了,
又起疑云?
第二天早上發現阿里云又有警報,追查了下是越南,上海的 ip 在大量使用記憶體,重置了下系統,
立刻升級 YApi 的版本到 1.9.5,
既然你是通過 YApi 控住我的,那我得查查看你都干了一些什么?
通過存在的資料庫能查到這幾張表:
原來是這么攻擊我的呀
感覺 adv_mock 和 adv_mock_case 有點意思,追進去看看:
喝,動態執行腳本呢,嗯,有點意思,
本文由博客一文多發平臺 OpenWrite 發布!
轉載請註明出處,本文鏈接:https://www.uj5u.com/yidong/330927.html
標籤:其他