【已完成】阿里云检测到Linux恶意命令执行

ATT&CK攻击阶段代码执行

恶意行为Linux恶意命令执行(IOC)

规则类型进程启动

规则引擎精准攻击识别引擎

处置动作阻断行为

进程路径/usr/bin/bash

命令行sh -c ipset add bt_ip_filter XXXX timeout 1800 2>&1XXX经过查询为有恶意行为的。

这是宝塔自己执行的吗？

堡塔运维南一 · 发表于 2024-4-22 09:20:22

您好，如果您没有在面板上配置的话就一个不是，可以检查一下面板上的这些日志有没有相应的提醒

南宋打球的南瓜 · 发表于 2024-4-22 10:21:01

运维技术南一发表于 2024-4-22 09:20
您好，如果您没有在面板上配置的话就一个不是，可以检查一下面板上的这些日志有没有相应的提醒 ...

面板上并没有对应日志信息。
这个不是宝塔自己的正常操作吗。
那可能是被入侵了？

南宋打球的南瓜 · 发表于 2024-4-22 10:23:26

运维技术南一发表于 2024-4-22 09:20
您好，如果您没有在面板上配置的话就一个不是，可以检查一下面板上的这些日志有没有相应的提醒 ...

这应该是加入宝塔waf黑名单吧？

堡塔运维南一 · 发表于 2024-4-22 11:37:38

南宋打球的南瓜发表于 2024-4-22 10:23
这应该是加入宝塔waf黑名单吧？

我刚刚查了一下，这个命令是没有影响的，可以忽略阿里云的这个这个告警

█ 菠萝云-主机特惠16G内存100元 █	阿里云国际低折扣多云自助平台	APP分发-无行业限制免审核	16核16G高防189元	【多途云】高防CDN
高防服务器，无视一切流量攻击	【恒爱云】香港2核1G 3M 15元/起	香港站群金牌Gold 6138大促销	【阿里云】宝塔一键部署，低至5折	OV/EV SSL证书，可当日签发
█ 易探云·香港/美国vps仅9元 █	CDN无视各类攻击\|无效退款	OV/EV SSL证书，可当日签发	【云防护】专注域名和网站安全防护	A15招租，联系qq394030111