20200221 - 记录云服务器中 cna12.dll 木马的解决

猜测是服务器 mariadb 的 root 用户密码泄露,导致被创建了好几个用户,它们的用户名是 systemd,server 等

攻击者用 root 用户在 mysqld 目录创建一个 cna12.dll 文件,引发了报警。

但服务器操作系统是 CentOS 7,而 dll 文件明显是 windows 的链接库文件,估计是批量攻击,攻击者并未确定服务器操作系统类型。

解决:

1、用腾讯云Web界面删除了可疑文件

2、停止 httpd 和 mariadb 服务

3、修改了 root 用户密码

4、删除被创建的未知用户

5、检查进程和端口,未发现可疑,估计攻击者并未从 mariadb 管理员向操作系统管理员提权成功

 

参考:

1、https://malwaremusings.com/2013/01/31/what-is-cna12-dll-and-the-piress-user/

2、https://xz.aliyun.com/t/2251

posted on 2020-02-21 15:38  Eric Lee  阅读(774)  评论(0编辑  收藏  举报

导航