服务器被刷了?

最近阿里云总是提示各种风险,只是简单处理,没太在意。

今天想读取服务器的一个 静态文件,总是失败,偶尔成功一两次,连接阿里云服务器也总是挂,一度怀疑公司网络的问题,然后通过远程打包的时候也挂了一次,说明肯定是服务器有问题了。

回家发现是 Yapi 的一个漏洞导致会被挖矿,于是赶紧禁用 Yapi 的相关服务。

怀疑可能有残留文件,那就得好好查查。首先根据阿里云报警信息里面的文件路径排查,该删除的删除。

1. 排查到一例:

根据这个地址排查到,这是猫池,进而得到他的偷窃钱包地址。

猫池地址:https://c3pool.com/cn/

** 竟然有 277 个矿工为期服务,还赚了好几百。**

** 0.0444 = 55 人民币, 0.067/0.00455 + 55 == 976 人民币。 接近 1 千块,用着别人的服务器,转自己的钱。 *

钱包地址是:43sEd48rjD2TpXjv7ptYWq1XWLGfpRKw25w1XtNd7rQDFpxrtcvu6KrNnmiX2Ui3Zb2rqEmdbGcg4gdW1ptApHGjAc6mqww

后面可以监控看看,他到底能赚多少。

2. 接着往下追查,发现第二个矿机程序:

目前没有量。

发现另外一个问题:

来自上海阿里云服务器的某人。

3. 发现和第一条相同的记录:

43sEd48rjD2TpXjv7ptYWq1XWLGfpRKw25w1XtNd7rQDFpxrtcvu6KrNnmiX2Ui3Zb2rqEmdbGcg4gdW1ptApHGjAc6mqww

3.1 发现第三例:

4. 发现特例:

5. 又发现一例:

46n4YeKAjUp2FcJnx8SFEb5CMK3kMRJ9o9MEuCzWtv2VEF5LYeq6TJKSWV3h4sEj4CQiUmsb2dNMEQcKJZJM8zCYFp7wFoy

发现上面的恶意程序,还保存了文件到本地,已经删除处理。

进一步发现

所有的域名都从 https://jhx15.zzlxrj.com/Uploads/image/goods/2021-06-07/mysql.tar.gz 下载数据,之前也有,说明肯定是该服务器的使用人操作。

原来是你!!!

郑州连续软件技术有限公司,看来得深扒一下。

关联了这么多域名,一看就不是正经的公司。

既然查到了公司,那就QQ 联系下呗。

完整邮箱是:domainabuse@service.aliyun.com

新注册了很多域名嘛。

至此,已经排查完毕。后面就看怎么玩了。

又起疑云?

第二天早上发现阿里云又有警报,追查了下是越南,上海的 ip 在大量使用内存,重置了下系统。

立刻升级 YApi 的版本到 1.9.5。

既然你是通过 YApi 控住我的,那我得查查看你都干了一些什么?

通过存在的数据库能查到这几张表:

原来是这么攻击我的呀

感觉 adv_mock 和 adv_mock_case 有点意思,追进去看看:

喝,动态执行脚本呢,嗯,有点意思。

本文由博客一文多发平台 OpenWrite 发布!

记录一次服务器被拿去挖矿的经历相关推荐

  1. 记一次服务器被当肉鸡挖矿的经历

    前言 前一阵子,阿里云服务器促销,买了一台2G的主机来做测试学习用,搭好环境后基本就没怎么管它,最近发现CPU总是跑满,,于是按CPU消耗排序,排在第一的是一个名为"kdevtmpfsi&q ...

  2. 记录一次服务器登录后提示邮件报错550

    记录一次服务器登录后提示邮件报错550 `smtp-server: 550 邮箱:user not exist "/root/dead.letter" 11/417 . . . m ...

  3. 华为云服务器,被植入挖矿机病毒

    华为云服务器,被植入挖矿机病毒 Linux 主机基本配置 Linux 挖矿机病毒 Linux 中毒的一般表现有哪些? Linux 中毒后的后台情况 Linux 中毒后系统排查 第一步:一开始的时候是怎 ...

  4. epic堡垒之夜显示服务器离线,堡垒之夜epic服务器进不去 | 手游网游页游攻略大全...

    发布时间:2017-12-19 堡垒之夜开国服了,那么有的小伙伴就发现自己的国服为什么进不去,下面牛游戏小编就为你们带来了堡垒之夜国服进不去的解决办法,想了解的小伙伴就一起来看看吧,希望能对你们有帮助 ...

  5. 怀旧服显示已从服务器断开连接,魔兽世界怀旧服服务器进不去排队怎么办 服务器断开连接解决方法技巧分享...

    魔兽世界怀旧服最近上线了,其中服务器进不去怎么办?今天上午玩家过多导致服务器负载,出现了各种玩家进不去.排队.断开连接等问题,很多小伙伴都不太了解,那么下面就和91小编一起来看一下吧!希望可以帮助到大 ...

  6. 记录一次服务器被攻击的经历

    突然收到阿里云发过来的异常登陆的信息: 于是,急忙打开电脑查看对应的ECS服务器的记录: 发现服务器的cpu占用率异常飙升,所以可以大概断定服务器已经被非法入侵了. 通过自己的账号登陆后,发现sshd ...

  7. csgo服务器找不到,csgo社区服务器进不去解决方法

    近期有玩家在玩csgo的时候遇到了一些小问题,他们在询问:csgo社区服务器进不去怎么办?今天小编就带来csgo社区服务器进不去解决方法,希望对大家能有所帮助. csgo社区服务器进不去解决方法 好几 ...

  8. 实例:建立一个触发器,当scott.emp被删除一条记录时,把被删除记录写到删除日志里面去

    实例:建立一个触发器,当scott.emp被删除一条记录时,把被删除记录写到删除日志里面去. --创建一个存放删除记录的表,此表此时为空表 CREATE TABLE del_emp AS SELECT ...

  9. 服务器重装esxi会怎么样,记录我的家庭服务器(2)esxi6.7安装+群晖+rdm直通+踩坑记录...

    记录我的家庭服务器(2)esxi6.7安装+群晖+rdm直通+踩坑记录 2021-05-02 19:19:39 60点赞 657收藏 66评论 创作立场声明:商品来源自掏腰包,大出血,文章有部分参考其 ...

最新文章

  1. 1. BCP的主要参数介绍
  2. linux下nginx部署以及配置详解
  3. Android 3.0 r1 API中文文档(113) ——SlidingDrawer
  4. ie9无法获取未定义或 null 引用的属性“indexof”_前端JS基础篇(二)JS基本数据类型和引用数据类型及检测数据类型方法...
  5. office 高效办公智慧树_干货高效实用的office办公小技巧之word篇
  6. MyEclipseWeb项目配置
  7. 各种排序算法的时间复杂度对比
  8. [扩展中国剩余定理(EXCRT)]
  9. gnome扩展_GNOME桌面的12个扩展
  10. 设置Myeclipse中的代码格式化、及保存时自动格式化
  11. poj 2051 Argus
  12. VBA实战技巧精粹010:如何快速选定工作表及Option Base 1
  13. 十六、Java四种内部类详解、匿名对象的使用
  14. citrix4.5无法进入发布程序界面The supplied credentials could not be validated
  15. 【PAT】A-1076:Forwards on Weibo(有向图的BFS遍历)
  16. 数据结构视频|408视频|计算机组成原理视频|计算机网络视频
  17. 选择最佳的DC/DC转换器的五大秘诀
  18. 初识Kinect之二
  19. 批处理PS给相同图片添加不同文字
  20. 代数余子式之和怎么算_小明说养老 | 养老金怎么算之算算过渡性养老金

热门文章

  1. 解决软著还在申请中,app上线应用宝攻略
  2. 前端弹出 不同的浏览器 ie弹出谷歌浏页面
  3. DeepExploit——当Metasploit遇上机器学习
  4. 前端:实现点击图片某个部位跳转(位图)
  5. 放大器OPA855的噪声计算实例
  6. CSS:多种方法画圆
  7. ctfshow web入门-反序列化
  8. 考研数学-立体几何(郑小松老师)-2020-03-08
  9. H5申请谷歌分析 google analytics,以及使用谷歌分析进行网站、应用的数据分析
  10. 技术交流:北京地区小麦的理想条件