记一次客户linux服务器被入侵

已于 2024-06-01 19:07:42 修改
阅读量267 收藏
点赞数 3
文章标签: 服务器 linux 运维
于 2024-06-01 17:13:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LFY2087701967/article/details/139376231
版权

很奇怪啊本来客户是没有发现的服务器被入侵了的,但是在昨晚23点多,客户机子的四个账户同时被修改了密码,我不是很理解为什么要这样做,一下就露馅了啊。

具体细节:

客户自己处理的也很及时,立马就断网了,后续编写了iptables防火墙规则只允许已知的ip段连接,我接手后排查出被写入公钥,定时任务(有很多个要清理干净),其他未发现异常

定时任务:

其一(被加密过,解密失败)

8B0D4664580878563A2E3047711658634303FEFE17466458097C5633313058780A5D7A4118E8F71C466E5F0878463B2033467F165C605E1EFFE81F4162530E7947313222427E165E625E1AF4E81C4762530E794731362247790E47614303F4F61A5E63530E7947303022427E165B674603F7F1034760530E7947363722427E165B674603F7F0195E6350027F46333030567D0F4766431BE8F71B447A580B7A4C343033447B1858644303F7F5195E6C501678453B3A3446780B5C744803F4F7155E66590E6740303A3446780B50744803F7F5155E665F167847343A3446780C5074421DE8F00341665016714138363247780149604703F4F21F5E655C0D6741373A3446780A5074411FF6E819467A5C086747323538407909596C5019F5E81C436047097E422C323642730E5965441EE6F715417A5B097D58303333587E015362401CF5F40D487A5B0979583B342C44780D5362401CF2F30D4463470A7A4E2C313440670C506E461DF7F51A50605E1670412C313042670958664A1BF6F71D417458007B58333533587C0B47664114FCF01D416459187D432C313343670A5B605E1FF3F517466458087D5636372C447D0A476D4503F4F7184A6259097B4322313043670F5C7A411CF6E81F4166530E7947333522427E165B674603F1F1034265530E794733302247790E47614503F7F11C5E65590C73403231334169004766411AE8F418407A510A73403231364E69095B6D5E1CF2F203416C59167B4038363247790F49604703F4F51A5E6C5116784F313A344678095955FE2203D619CB26D9A2DB508221BF5752D3937A69

其二(远程下载了一个sh脚本,我判断是挖矿脚本)

远程域名是恶意还有在/tmp目录发现运行产生的恶意文件,重启后消失

最后判断是通过redis未授权写入的公钥,ssh密码是强密码不会被爆破。

安全er
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux服务器很多sshd进程,一次Linux服务器入侵后的检测过程
weixin_39594439的博客
05-01 1890
原标题:一次Linux服务器入侵后的检测过程来自:FreeBuf.COM,作者:哈兹本德0×00 前言故事是这样的,大年初一,客户反应他们服务器无法访问,查看路由,发现某oracle+tomcat服务器UDP流量超大,把带宽占完了,过年嘛,客户那边先找了当地的技术人员弄了几天没搞定,然后没办法大年初三的找我们弄…顾客是上帝!其实吧以前也遇到过这类攻击,当时某IDC都被打瘫了,只不过马儿不在我们...
一次Linux服务器遭遇挖矿
程序媛
10-23 2817
昨天需要用服务器跑一个代码,结果nvidia-smi命令结果显示GPU基本被一个miner/ld-linux-x86-64.so.2的process占满,查看该进程用户为root。跟实验室同学确认无人知晓,初步判断为挖矿病毒,先kill掉再说:kill 19459 下午忙着看代码看论文没有管这个病毒的事,当我晚上再次查看服务器准备运行命令时,却再次显示GPU被占满。同样的场景再现。于是,我准备认真...
一次阿里云被挖矿处理
热门推荐
x1172031988的专栏
07-08 4万+
一次阿里云被挖矿的处理过程
录一次linux服务器被侵入攻击的现象
f2315895270的博客
11-02 3318
某天早上来的时候测试那边发消息通知后台服务用不了,然后我去检查服务是否正常启动,本来以为就只是挂了而已,结果看到了阿里云那边的警告通知,服务器已被入侵,(公司阿里云账户绑定手机邮箱都不是我,所以没办法在第一时间收到通知),然后去检查服务器cpu等情况,一看占用满了 知道可能是被攻击了,这里有一个路径为/tem/syn的程序一直把cpu给跑满了,就尝试将进行给kill掉,然后去这个目录下把syn这个木马文件给删除掉,结果删掉了之后过了一会他又恢复了并且启动,这下就有点不知所措了,知道应该是还留了后门自动的
Linux服务器入侵后的排查思路(应急响应思路)
人若有志,就不会在半坡停止。
11-12 2026
黑客在9月6日14:31:39——14:33:11对服务器进行爆破,且在 14:33:09成功爆破出root账户密码并且进行登录,登录之后在9月6日14:37:22 植入了 .shell.elf 后门(根据成功爆破出root账户的时间可知 9月5日18:00:06 为 .shell.elf后门的创建时间,并非植入时间)、在14:38:00 植入了 /.centos_core.elf 后门、在 14:43:31 植入了ps命令后门、在 14:48:08写了恶意定时任务,恶意IP为192.168.1.132。
录一次服务器被攻击的经历
LeeKwen的专栏
02-16 4782
对于服务器的镜像版本较旧、漏洞较多的问题,建议能更新镜像的,就先更新镜像,不能更新的,就好好地利用下安全组规则和漏洞的提示工具,修补对应的漏洞,防止后续类似事件的发生。
Linux服务器入侵之后的处理方法
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
09-13 1709
安全事件处理流程 如上图,将服务器安全应急响应流程分为如下 8 个环节: 发现安全事件(核实)—现场保护–服务器保护—影响范围评估—在线分析—数据备份—深入分析----事件报告整理 各阶段说明 核实信息(运维/安全人员) 根据安全事件通知源的不同,分为两种: 外界通知:和报告人核实信息,确认服务器/系统是否被入侵。现在很多企业有自己的 SRC(安全响应中心),在此之前更多的是依赖某云。这种情况入侵的核实一般是安全工程师完成。 自行发现:根据服务器的异常或故障判断,比如对外发送大规模流量或者系统负载异常高等
录一次阿里云服务器入侵处理经过
haogeoyes的博客
05-11 2181
本人自己的阿里云服务器,纯个人使用,除了提供小爱音箱开关家中esp8266灯带使用,没什么特别的重要服务。 直到有一天,小爱平台的哥们告诉我,我的应用响应超时,才开始关注我的服务器问题(前期收到过超时短信、和阿里云的风险短信,没太关注) 现象: 登录后 很卡 查看负载6个以上 top cpu 90% 看不到使用cpu较高的进程 接着排查应用 查看响应时间确实 较以前较高 增加了3秒 先恢复应用,提供默认响应先规避小爱告警 而后慢慢排查负载高的问题 解决: 查看阿里云告警 查看 了下ip 62.210.1
一次Linux服务器入侵和删除木马程序的经历
qq_30665009的博客
05-19 2554
一、背景 上午看到有台服务器流量跑的很高,明显和平常不一样,流量达到了500Mbps,第一感觉应该是中木马了,被人当做肉鸡了,在大量发包。 我们的服务器为了最好性能,防火墙(iptables)什么的都没有开启,但是服务器前面有物理防火墙,而且机器都是做的端口映射,也不是常见的端口,按理来说应该是满安全的,可能最近和***有缘吧,老是让我遇到,也趁这次机会把发现过程录一下。二、发现...
Linux服务器入侵后的处理过程
李振良的技术博客
03-04 1629
突然,频繁收到一组服务器 ping 监控不可达邮件,赶紧登陆 zabbix 监控系统查看流量状况。 可见流量已经达到了 800M 左右,这肯定不正常了,马上尝试 SSH 登陆系统,不幸的事,由于网络堵塞,登录不上或者卡死。 1、排查问题 第一反应是想马上通知机房运维人员切断该服务器外部网络,通过内网连接查看。可是这样一来流量就会消失,就很难查找攻击源了。 于是联系机房协助解决,授权机房...
一次linux服务器入侵应急响应(小结)
09-14
主要介绍了一次linux服务器入侵应急响应,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
一次Linux服务器被hack的过程分析
01-31
hacker登入一台被入侵服务器,通常首先使用”w”命令查看登陆者信息、使用”passwd”命令修改当前用户密码,然后通过wget,获取提权和其他hack工具。hacker一般将工具解压到目录名以”.”开头的目录中,达到隐藏的...
一次入侵Linux服务器和删除木马程序的经历
09-15
主要介绍了一次入侵Linux服务器和删除木马程序的经历的相关资料,需要的朋友可以参考下
自建SMTP服务器:如何保障安全稳定的发信?
danplus的博客
07-17 264
自建SMTP服务器虽然可以提供更高的灵活性和控制力,但也需要投入大量的时间和精力来保障其安全和稳定。AokSend,指导您自建SMTP服务器,结合API接口,高效稳定,让邮件营销更加自主可控!
视频网站适用于什么服务器类型呢?
wanhengwangluo的博客
07-17 90
视频网站通常都会选择一些性能比较强大的服务器来保证网络视频能够进行流畅播放与用户的良好体验感,视频网站需要承载大量的视频数据处理与传输,所以选择的服务器需要具备强大的计算能力与网络处理能力,可以选择使用多核CPU和高速网络接口的服务器,来保证视频可以进行快速的下载。视频网站中的文件内存会比较大,为了可以存储大量的视频文件,所以网站需要具有足够存储空间的服务器,同时还要有着高可用性,确保业务的连续性与可靠性,不会出现服务器故障导致业务出现中断的情况。
Linux 命令 —— top命令(查看进程资源占用)
longool的博客
07-14 1065
top 命令是 Linux/Unix 系统中常用的进程监控工具,可以实时显示系统中各个进程的资源占用情况,是一个快照信息,包括CPU、内存等。进入 linux 系统,直接输入 top,回车,就会显示如下所示的信息。1、第一行:时间上的统计top - 15:10:50:表示当前系统的时间是15:10:50;up 10 min:表示系统当前已经运行了10分钟。user:表示当前登录系统的用户数为1。
Linux chmod 命令简介
最新发布
地球空间
07-17 314
权限时,因为它会给予所有用户对文件或文件夹的完全访问权限,这可能会带来安全风险。命令用于改变文件或文件夹的访问权限。这会给指定文件夹及其内部的所有文件和子文件夹的所有者读、写和执行的权限,同时给组用户读和执行的权限。这会给指定文件夹及其内部的所有文件和子文件夹的所有者读和写权限,但不允许执行。这会给指定文件夹以及其内部的所有文件和子文件夹的每个用户读、写和执行的权限。这会从指定文件夹及其内部的所有文件和子文件夹的所有用户那里移除写权限。这会给指定文件夹及其内部的所有文件和子文件夹的所有用户添加执行权限。
Linux】:文件fd
Yikefore的博客
07-14 801
文件fd的详细解析!
搭建远程控制(远程桌面)服务器
07-16 253
搭建一个属于自己的远程控制服务器,操作简单,一次成功。服务端电脑不需要设置,只需要设置路由器或光猫的防火墙。客户端的安装很简单,设置按截图操作即可。
Linux应急响应流程及实战演练.docx
03-06
"这篇文档详细介绍了Linux应急响应的流程及实战演练,主要针对企业在遭遇黑客入侵、系统崩溃等安全事件时如何快速恢复并调查事件。文档涵盖了账号安全、日志分析、系统状态检查等多个关键点,旨在提升Linux系统的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值