看后台是一个xmring的占用,意思就是在挖门罗币,火速做了个清理脚本,发现一些禁止ssh的没被入侵,所以清理后必须开启禁用
清理病毒代码(完全修复版)
后续补
发现面板版本确实是2以下,被控端是2.2.2,首页的版本颜色太淡了,一直以为是2.2新版,还是首选更新面板,但也不建议开启ssh。希望nezha默认关闭ssh,这个实在太危险了,漏洞就算补了也可能被ai扫出来,如果黑客不图挖矿 搞锁机勒索 抹除就完犊子了
诡异的事情又来了
后面升级了面板到2.2.3,有些掉线了于是重新安装被控端,发现面板没反应,也没去关ssh,结果后台又被启动挖矿。继续查发现遗漏/opt/systemlog/SystemLoger未清,这个病毒伪装很好,打开都是空的,但却有9k内容,以至于ai都无法第一时间分辨,有人说是/opt/nezha/agent 多出的configxxx.yml配置,这也是需要清除的,但不一定就是黑客留的,有时重复安装也会出现,需要注意
罪魁祸首是不及时更新,最新版本早就修复了
出问题的是v2.0.13及以下,最新版本是 v2.2.3,那是三周前的版本了
不要浪费时间了,直接dd系统吧
清理不掉吧
清理完也不安心,说不定还有其他后门,rebuild才干净
牛逼克拉斯,可以我已经重装了
清理不干净,你怎么知道入侵干了啥?所以尽量dd。
@seamee #1 我这边版本都是2.2.2 一样被黑
@oursw #7 那poc说的就有问题了
@oursw #7 这么恐怖 我2.1.4还没事
可以清理 这些脚本很垃圾,主要是禁用ssh就可以避免再生 这瓜保熟吗 #2 @q2836400482 #3