简单的记一下客户的挖矿事件吧,我又来水文章了。 1、还没上班老板找我说有个事件处理,把我拉群里客户告诉我说被挖矿了,我寻思啥情况,挖矿干干蛋蛋啊! 2、什么干不掉!我来瞅瞅,上去就是一顿排查,发现了一些问题,他们没清干净,而且文件没删完!这群憨货 3、简单排了一下,相信各位大佬都会应急,我就不说流程了,基本也就计划任务在拉文件,循环执行,拉的文件然后写计划任务,读用户信息啥的,我先把进程kill了发现还是能起来,妈的! 4、追了一下进程信息,发现有隐藏文件再拉,!透你等着 5、我直接给他全覆盖了,然后挨个删 6、还有开机启动项也有,你真是坏啊! 7、然后继续观察进程看看有没有重启,发现确实没有重启 8、排查原因一开始以为是redis的问题,但是发现redis没啥毛病,白名单只允许本地登录 9、最后发现因为免密登录导致内网被横向,大概有十几台主机,基本都是这个情况 10、至于公网为什么进来了,我确实没找到,好烦! 继续更新,下午客户又找我说起来了。我去看了看,靠确实起来了,并且还改了脚本 11、还写上了密钥,写了一堆 12、继续删除,我查了查发现了一个问题,他妈客户用的组件是log4j,你搞死我算了啊!大哥 13、去查日志,发现了他妈攻击日志
这个人是真恶心啊,你盯着人搞有什么意思?????????????????????把ip给大家,大家来看看
你们说这种人可恨吗?
我都看笑了
火大表哥 怎么了大表哥
确实看笑了。
Herry 作者很风趣哈哈哈
