记一次云服务器被入侵

最新推荐文章于 2023-03-19 23:33:18 发布
最新推荐文章于 2023-03-19 23:33:18 发布
阅读量2k 收藏 2
点赞数
分类专栏: Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Co_zy/article/details/75126706
版权

这次入侵发生在半年前,那时候还没建立CSDN,今天记录一下.

服务器:腾讯云学生机
Centos6.x
1核 1GB 1Mbps

Wordpress最近爆出漏洞,不少用户遭到攻击.
这是发生在我主机上的情况,2月6日接收到一个邮件,问我是否通过在Wordpress上的一个评论,当时有点,之前没有过评价,我就直接通过了,2月6日,我用ssh连接服务器,出现无法连接的情况,我于是重启服务器,还是不行,之后强制重启,这次成功,不过在书命令的时候非常慢,输完之后还要等待一会。没发现异常,之后又出现了ssh无法连接的情况,vnc此时也无法连接,我去看了下最近的CPU记录,如下图

这里写图片描述

之前是CPU占用100%,直接宕机,当时还是无法连接,我用另一台主机扫描这台服务器,发现了几个未知的端口

这里写图片描述

之后再次重启,便可以的登录了,于是我设置了一下安全组,关掉了了这几个端口。
本以为问题就这么结束了,我再次ssh登录时,输入命令执行变得非常慢,有时候直接卡死,我执行cd / 后,看到根目录产生了几个异常文件,如下图

这里写图片描述

通过cmd.n文件 可以看到 此命令关掉了我的防火墙,
然后从一个服务器下载了expl文件并执行,后来证明为linux backdoor gates5
于是我直接将它们删除,当时还没意识到感染很严重。
后来我在/root目录里陆续发现了一些异常文件,我下载了clamav这款杀毒软件,全盘杀了一次毒,卡顿的问题解决。
于是我在全盘搜索了一下

 find / -name conf.n

发现在好几个目录里都存在着个文件,还看到一个.getty的文件
我去网上搜索了一下这个文件,发现这就是linux backdoor gates5导致的,服务器已经变成黑客的肉鸡,被植入了DDOS程序。
还有那个conf.n文件是无法删除的,一删除立即会出现
我之前还用过top命令查看过谁占用的进程,
其实这根本没用,因为ps top这些命令早就本替换掉
通过
ll /bin/ps
查看大小,也证实了这一点
文件大于1M。
如果进行彻底的清理 将会非常麻烦 我在杀过毒后问题已经不大,但我然担心还会出现问题,于是备份数据重装系统。

总结
最近Wordpress爆出越权漏洞,我又没有升级,从而导致了这次事件的发生,又想起了Wordpress上的评论,
可能那就是源头,也不一定是吧,如果那条评论我没通过

以下是几点防护措施
1,修改ssh的默认端口
2,禁止root账号登陆
3,新建一个账号(不要用admin之类容易猜到的账号,并设置一个复杂的密码)并让其可以sudo su成root
4,用DenyHosts防止暴力破解将对方尝试破解的ip拒绝掉
5,mysql只允许自己登陆,禁掉其它

原文

Wordpress最近爆出漏洞,不少用户遭到攻击
这是发生在我主机上的情况,2月6日接收到一个邮件,问我是否通过在Wordpress上的一个评论,当时有点,
之前没有过评价,我就直接通过了,2月6日,我用ssh连接服务器,出现无法连接的情况,我于是重启服务器,
还是不行,之后强制重启,这次成功,不过在书命令的时候非常慢,输完之后还要等待一会。没发现异常,
之后又出现了ssh无法连接的情况,vnc此时也无法连接,我去看了下最近的CPU记录,如下图

之前是CPU占用100%,直接宕机,当时还是无法连接,我用另一台主机扫描这台服务器,发现了几个未知的端口,

之后再次重启,便可以的登录了,于是我设置了一下安全组,关掉了了这几个端口。
本以为问题就这么结束了
我再次ssh登录时,输入命令执行变得非常慢,有时候直接卡死
我执行cd / 后,看到根目录产生了几个异常文件,如下图

通过cmd.n文件 可以看到 此命令关掉了我的防火墙,
然后从一个服务器下载了expl文件并执行,后来证明为linux backdoor gates5
于是我直接将它们删除,当时还没意识到感染很严重。
后来我在/root目录里陆续发现了一些异常文件,我下载了clamav这款杀毒软件,全盘杀了一次毒,卡顿的问题解决。
于是我在全盘搜索了一下 find / -name conf.n
发现在好几个目录里都存在着个文件,还看到一个.getty的文件
我去网上搜索了一下这个文件,发现这就是linux backdoor gates5导致的
我的服务器已经变成黑客的肉鸡,被植入了DDOS程序。
还有那个conf.n文件是无法删除的,一删除立即会出现
我之前还用过top命令查看过谁占用的进程,
其实这根本没事因为
ps top这些命令早就本替换掉
通过 ll /bin/ps
查看大小,也证实了这一点
文件大于1M。
如果进行彻底的清理 将会非常麻烦 我在杀过毒后问题已经不大,但我然担心还会出现问题,于是备份数据重装系统。
总结
最近Wordpress爆出越权漏洞,我又没有升级,从而导致了这次事件的发生,又想起了Wordpress上的评论,
可能那就是源头,也不一定是吧,如果那条评论我没通过,
可能还会发生今天的事,通过这次事件,我也明白了服务器安全的重要性
以下是几点防护措施
1,修改ssh的默认端口
2,禁止root账号登陆
3,新建一个账号(不要用admin之类容易猜到的账号,并设置一个复杂的密码)并让其可以sudo su成root
4,用DenyHosts防止暴力破解将对方尝试破解的ip拒绝掉
5,mysql只允许自己登陆,禁掉其它

Co_zy
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
腾讯云服务器被攻击了怎么办?
weixin_67757219的博客
03-30 3022
前几天,从知乎找过来了一个客户,他的情况是这样的,已经购买了阿里云的30G高防包,但效果并不是那么理想,价格也是非常昂贵,还是经常处于被打死拉进黑洞的状态,阿里客服那边的意思是让他上吞金兽,客户也承担不起,也确实,一天几W的消费,基本上都扛不住,所以他通过知乎联系到了我们小蚁云安全,了解过他们的情况后我这边马上给客户出了一个方案,首先这个客户也是之前不懂这行,才花了高价没解决问题,、 众所周知,ddos攻击就是流量攻击,而对抗他的方法就是资源对抗,所以一般来说高防IP就是常见的防御ddos的方法,那么
云服务器为何被人入侵
Qq1014136047的博客
01-04 1144
云服务器总被入侵很有可能是自身的服务器程序存在漏洞,软件等级较低,被黑客利用而发动攻击。尤其是一些特殊行业,例如金融、医疗、电子商务、银行等,黑客攻击云服务器获取数据而谋取利益。 自身程序漏洞 云主机可能存在漏洞或处理配备有差错,若没有及时发现和处理,就有可能被黑客攻击。桌面漏洞也有很多,例如我们平时用的浏览器,如果不常常下载更新补就存在被黑客攻击的风险。他们不需要通过同意就能够自动下载非法软件代码。 利益冲突 由于无处不在的竞争关系,导致了互联网环境中一些攻击手段层出不穷,网站遭受到恶意攻击的频率
云服务器为何被入侵,甚至盗取篡改数据
最新发布
m0_70655343的博客
03-19 367
比如,应用程序级别攻击就是有效的攻击方式。此类攻击不需要大量带宽或其他专业知识。云主机可能存在漏洞或处理配备有差错,若没有及时发现和处理,就有可能被黑客攻击。桌面漏洞也有很多,例如我们平时用的浏览器,如果不常常下载更新补就存在被黑客攻击的风险。云服务器总被入侵很有可能是自身的服务器程序存在漏洞,软件等级较低,被黑客利用而发动攻击。由于无处不在的竞争关系,导致了互联网环境中一些攻击手段层出不穷,网站遭受到恶意攻击的频率也更高。恶意攻击可能来自同行业其他竞争对手,让你的服务器宕机,争夺用户去他们那里办业务。
服务器被入侵如何排查与修复,云服务器入侵如何排查
weixin_42593130的博客
08-10 384
云服务器入侵如何排查 内容精选换一换华为云镜像服务帮助中心,为用户提供产品简介、快速入门、用户指南、API参考、最佳实践、常见问题、视频帮助等技术文档,帮助您快速上手使用镜像服务。云服务器网络异常、防火墙未放行本地远程桌面端口、云服务器CPU负载过高等场景均可能导致云服务器无法正常登录。本节操作介绍无法登录Linux弹性云服务器的排查思路。当您的云服务器无法远程登录时,我们建议您首先检查是否可以...
云服务器被攻击了,怎么处理比较合适,你的服务器在发生什么
weixin_67757219的博客
01-09 911
虽然这些步骤可以帮助您在腾讯云服务器遭受攻击时缓解危机,但最终您还需要找出攻击的根本原因并采取预防措施。腾讯云服务器被攻击时,应立即采取行动以防止损害扩大。如果您的腾讯云服务器遭受了攻击,请立即采取行动以防止损害扩大。
一次Ubuntu服务器被黑经历
01-10
最近我们的一台Ubuntu阿里云服务器一直提示有肉鸡行为,提示了好几天,开始并没有关注,然后连续几天后发现应该是个大问题啊。很可能服务被侵入了!!! 寻找线索 一开始我是完全懵逼的状态的,Linux不是很熟悉,只会...
阿里云服务器安全-产品简介.pdf
10-11
每天凌晨会进行一次全面扫描,如果Web目录文件发生变化,也会触发即时单文件扫描。用户可在控制台上一键隔离查找到的后门。 2. **补丁管理**: - 提供漏洞扫描服务,涵盖通用Web软件和Windows系统漏洞,扫描周期为...
阿里云服务器安全-产品简介-D.docx
10-11
阿里云服务器安全产品,也被称为“安骑士”,是一款由云盾推出的高效运维管理工具,旨在保障用户云服务器的安全。该产品通过在服务器上安装轻量级的Agent插件,与云端防护中心协同工作,能够实时监控和防御各种入侵...
华为云桌面双因素认证方案.pdf
06-21
传统的云桌面认证方式主要依赖静态密码,但这种方法存在诸多安全隐患,如密码简单易猜、容易被窃听或泄露,一旦被非法入侵者获取,就可能导致企业内部系统的非法访问。 面对这些挑战,华为云桌面引入了双因素认证...
腾讯云-堡垒机服务平台概述.pdf
10-10
- 单点登录(SSO):通过集成SSO,用户只需一次登录即可访问多个系统,简化登录流程,提高用户体验。 - 增强的计划管理功能:支持定时任务和脚本执行,自动化运维操作,减少人工干预。 - 审计管理:详尽的审计...
腾讯云服务器入侵,导致redis被侵入(挖矿)
cc1aymore的博客
10-30 1551
如图突然收到告警: 之后马上去查看,发现没有这三个文件。因为服务器没什么异常,就不管了。 。。。。。。 结果之后redis常常存值异常:MISCONF Redis is configured to save RDB snapshots, but it is currently not able to... 百度后修改:config set stop-writes-on-bgsave-error no 但治标不治本... 然后查看redis的log:/var/log/redis/redi.
腾讯云服务器被攻击我是这样应对的
qq_50805795的博客
04-02 6621
先上图 (恶意篡改密码) (恶意登录) 我只是想简单地把web前端地作业上传到云服务器上展示,但是没想到还能被攻击(欲哭无泪)。被恶意登录后,导致访问我的网站时,链接页面时出错,要么图片加载不出来,要不就是直接网站无法访问(我只是个普普通通的学生,注册个服务器交个作业而已,但是没想到这都能被当作靶机,生气!!!) 好吧,但是作业还是要做展示,欸,又要重装系统 还是装Centos 7.6的系统,重装成功后,先修改密码【请设置一个无敌超级复杂的密码吧,起码别是含12345这种暴力破解一百多次.
使用的阿里云服务器被黑客入侵怎么办
weixin_30632899的博客
03-17 6734
对于很多运维人员来说,服务器安全是至关重要的,必须确保云服务器上的网站不被恶意入侵以及安装木马病毒程序。现在很多公司以及个人习惯使用云服务器,如阿里云、腾讯云、百度云等,当云服务器被黑客入侵的时候,排查的相关方法依旧跟自建服务器类似。如果使用的是阿里云服务器,在网站等应用程序被挂马蠕虫或者服务器被入侵,但自身运维工作人员又无法排查出问题的时候,我们还可以通过购买阿里云的安全应急响应服务来请阿里的安...
什么?云服务被入侵了!!!你是把防火墙关了吧
wang_chuan_hao的博客
03-20 398
云服务器入侵 运维小白的惨痛教训 防火墙关闭导致被入侵,之前因为部署mysql、redis等服务为了远程连接省事,直接把防火墙关了,这一行为等于晚上瞬觉不关门,被偷了能怪谁! 开启防火墙,仅开放指定端口 systemctl start iptables 重启服务器 ...
云服务器异地登录,服务器被黑
Sumshine12.5
04-30 3342
今天服务器被攻击了。 大概过程 大概过程是这样的,正在写博客的时候阿里云给我发来短信说云服务器异地登录,我想怎么可能 我的ip也没有透露出去,密码也没透露出去,不会又想我买你的啥子安全产品吧,,,, 后来越想越简单不对劲,于是登录云服务器查看异地登录日志,发现一个可疑的IP然后又看百度统计有没有相同的IP果然,,,101.206.1. IP地址和云服务器的异地登录IP一模一样的,而且访问时常达一...
租用云服务器中被入侵了怎么解决
weixin_67757219的博客
03-15 523
现在服务器被攻击是很正常的事情,跟着互联网的不断地的发展,让一些黑客也有了技能的更新,俗话说魔高一尺,道高一丈,所以咱们的服务器租借商更应该将愈加先进的技能学到,不断的去抵抗这些黑客的侵略。 小编建议:咱们使用云服务器云服务器相对传统服务器会安全许多,就算被攻击了,咱们也不用怕数据丢失,所以咱们还是租借云服务器比较好。 谁都知道,要对黑客进行防备,那么假如真的出现了这种情况,又改如何进行处理了,今日点击网络科技带您进行简单的介绍。 1、查看有没有多出来的办理员账号,删去或制止...
云服务器这么安全,是怎么避免网络攻击的
weixin_44019817的博客
12-25 1289
随着云计算的发展和使用,云服务器现在使用的也是越来越广泛。云服务器是对传统互联网托管平台的延伸和发,具备高灵活性、高稳定性、高可用性等特点。但是在使用时,和其他托管平台,云服务器同样不可避免地要面临被恶意网络攻击的风险,因此做好云服务器恶意攻击的防范工作非常重要且必要。那么云服务器如何避免网络攻击呢? 当企业开始迁移到公有云时,网络攻击事件的发生的可能性就让人不寒而栗。在公有云中,企业将数据放在...
一次云服务器被黑经历
NathanniuBee的博客
04-06 2131
事情大概是这样的 之前有在腾讯云上租服务器,装了一些环境【大概就是mysql,mongo,redis等等】,供自己学习及平常code练习用,然后最近在做springboot整合monog多数据源的练习,然后莫名其妙mongo就连不上了,在此之前有做过mysql以及mq,redis的练习,以为是mongo没有起来,悲催的是,结果xshell直接连不上了,然后尝试了重启等多个措施,无效,只好向腾讯云...
2021-05网站被入侵事件 与腾讯云客服的解决方案
huang_ftpjh的博客
05-27 1296
遇到这种情况,先查看有没有备份,服务器有没有快照,数据库有没有主从,有没有开启binlog日志;只有一个条件达到就能及时停损 MongoDB赎金事件 https://www.zhihu.com/question/31219956 我以前是一笑而过,而现在被入侵了——!!! 原本以为我腾讯的云服务器不太行,等了10几秒还没有刷出我的页面。没想到第二天访问我的网站后台;显示无法登陆??? mysql数据库被攻击删库_[已解决] 服务器被攻击,数据库被全部删除了 左边的数据库被攻击...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值