20200221

猜测是服务器 mariadb 的 root 用户密码泄露,导致被创建了好几个用户,它们的用户名是 systemd,server 等

攻击者用 root 用户在 mysqld 目录创建一个 cna12.dll 文件,引发了报警。

但服务器操作系统是 CentOS 7,而 dll 文件明显是 windows 的链接库文件,估计是批量攻击,攻击者并未确定服务器操作系统类型。

解决:

1、用腾讯云Web界面删除了可疑文件

2、停止 httpd 和 mariadb 服务

3、修改了 root 用户密码

4、删除被创建的未知用户

5、检查进程和端口,未发现可疑,估计攻击者并未从 mariadb 管理员向操作系统管理员提权成功

参考:

1、https://malwaremusings.com/2013/01/31/what-is-cna12-dll-and-the-piress-user/

2、https://xz.aliyun.com/t/2251

【推广】 免费学中医,健康全家人
原文地址:https://www.cnblogs.com/likun/p/mariadb-cna12-dll-trojan.html