20200221 - 记录云服务器中 cna12.dll 木马的解决

猜测是服务器 mariadb 的 root 用户密码泄露，导致被创建了好几个用户，它们的用户名是 systemd，server 等

攻击者用 root 用户在 mysqld 目录创建一个 cna12.dll 文件，引发了报警。

但服务器操作系统是 CentOS 7，而 dll 文件明显是 windows 的链接库文件，估计是批量攻击，攻击者并未确定服务器操作系统类型。

解决：

1、用腾讯云Web界面删除了可疑文件

2、停止 httpd 和 mariadb 服务

3、修改了 root 用户密码

4、删除被创建的未知用户

5、检查进程和端口，未发现可疑，估计攻击者并未从 mariadb 管理员向操作系统管理员提权成功

 

参考：

1、https://malwaremusings.com/2013/01/31/what-is-cna12-dll-and-the-piress-user/

2、https://xz.aliyun.com/t/2251