一次腾讯云centos服务器被入侵的处理

最新推荐文章于 2024-05-04 03:01:13 发布
最新推荐文章于 2024-05-04 03:01:13 发布
阅读量1k 收藏 3
点赞数
原文链接:http://www.cnblogs.com/coding-one/p/11439995.html
版权

  昨天一大早,我还没到公司呢,就收到腾讯云安全中心发来的服务器异常登录告警,登录控制台一看,ip还是美国的,一脸懵逼。由于本人之前也没有过处理服务器入侵的经验,而且这台服务器目前还没有部署商用系统,所以也就没怎么在意,照着云安全中心提示的可疑文件的位置,将其删除,就这样交差了。其实我知道这样肯定是不行的,但是确实很烦去处理这种事情。果然,下午又收到了告警。这是公司的电脑,老板很在意,刚好手上的事情忙完了,今天就特意花时间查了查,记录一下排查过程。

  首先,还是上控制台,看一下告警的信息,告警显示的登录ip来自美国,登录账号竟然还是 root (感觉好牛批。之前我自己个人的服务器被入侵,还是被建了一个 test 用户进行操作的。),告警信息提示可以文件有两处:

    /tmp/SzdXM 和 /usr/bin/dznqfa4

    

 

 

     

 

 

   这次我没有急着把他们删除,而是先查看一下进程,果不其然,有几个对应的进程:

    

 

 

   查看完进程,再看一下连接,发现这些进程打开了 100 多个连接,并且连接的目标ip都不同:

    

   虽然查到了进程和连接,但这只能证明服务器确实被入侵了。但是怎么入侵的呢?其实我的 root 密码是20+位数字大小写字母和特殊符号组合密码,想来应该不会是暴力破解

最低0.47元/天 解锁文章
a18131120314
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
一次针对Centos入侵分析
weixin_30786617的博客
10-05 213
离开厂家多年,很久没有碰这类事件了。 回顾:  2017年9月末,接到一个朋友转述的求助信息。他一客户的服务器被黑了。服务器上所跑业务上的金额也全部被人转走了。 朋友的客户加我后,没头没尾的问我能不能做服务器加固...(难得的长假,举国欢庆啊哪有空鸟他)。  10月4号跟对方详细聊了下情况。大致明白缘由了。 事件:  1.一台阿里云上的centos服务器被黑。理由:服务器上被加了...
腾讯云服务器被恶意挖矿处理建议----检测到存在待处理的恶意文件:/usr/share/xmrigMiner,威胁等级:严重,您的服务器疑似被黑客入侵,建议您及时确认,避免造成严重损失。
weixin_58622844的博客
08-09 2721
事情是这样的,前两天搭建微服务项目的时候需要用到服务器,第一天刚部署上项目,紧接着第二天就被黑客扫了,既没办法访问,也没办法远程连接。
Linux服务器被黑客攻击,安全检查方法_centos 被黑客ssh登陆,查看操作(1)
最新发布
2401_84253894的博客
05-04 197
rootkit是入侵者经常使用的工具,这类工具可以隐秘、令用户不易察觉的建立了一条能够总能够入侵系统或者说对系统进行实时控制的途径。备注:登录的时候提示信息在 /etc/motd 文件里面。2、修复(下面是参考网上的东西,不知道效果怎么样)检测脚本,放到定时任务里面即可。1、测试代码,有问题的。
记:解决腾讯云服务器程序被恶意登录植入进程
weixin_66934797的博客
02-08 1071
1.登录上服务器发先服务器非常卡,直接使用top -c命令检查进程CPU的占用率,果然发现了问题,看图./xrx 占用了200%的内存2.查看定时任务,是否有不明的定时任务①使用-l命令查看,没有发现不明定时任务②cat /etc/crontab,同样没有发现不明定时任务3.检查端口的状态有很多tcp和udp的连接4.第一次处理:强制杀死进程: kill -9 22865745.杀死进程查看CPU回归正常。
腾讯服务器状态异常是怎么回事啊,腾讯云服务器网络异常怎么办
weixin_36289292的博客
07-29 2158
腾讯检查网络配置在两台主机上运行IPCONFIG命令,以确保它们使用的IP地址都在预期范围内。单独运行IPCONFIG命令可以显示分配给每个网络适配器的IP地址、子网掩码和默认网关。如果这些值没有问题,那么可以更进一步,运行IPCONFIG /ALL命令,这个操作会显示每个网络适配器的DNS服务器分配,验证系统是否使用预期的DNS服务器非常重要。测试名称解析验证了源主机和目标主机的IP地址配置,可...
腾讯云服务器被黑客攻击的解决办法
11-12 2312
腾讯云服务器被黑客攻击的解决办法
腾讯云CentOS 6.6快速安装 Nginx服务器图文教程
01-10
一.下载Nginx  从Nginx的官网(http://nginx.org/en/download.html)下载Nginx的最新版本,这里我下载的是nginx-1.9.12。  下载完成后,得到一个如下图所示的压缩包  上传nginx的tar包到Linux服务器上,如下...
腾讯云CentOS8_yum换源替换文件
06-07
在使用腾讯云CentOS 8系统中,有时我们需要对默认的YUM仓库进行更换,以便获取更快的软件包下载速度或访问特定的软件版本。本文将详细解释如何执行这个过程,以及涉及到的相关知识点。 首先,`Centos-vault-8.5....
腾讯云服务器Centos挂载数据盘的方法
01-20
第一、检查硬盘设备是否有数据盘 # 先执行 fdisk -l # 以下是执行结果 Disk /dev/vda: 21.5 GB, 21474836480 bytes 255 heads, 63 sectors/track, 2610 cylinders Units = cylinders of 16065 * 512 = 8225280 ...
云服务器】阿里云部署项目、攻击CPU解决方案
a23452的博客
09-09 1210
部署运维: 将web项目部署到阿里云服务器,刚部署就被攻击了,CPU爆满,服务器进入不了,最终初始化; 给出jar环境部署全套
安全运维之:Linux后门入侵检测工具的使用
靠谱运维
09-25 6124
一、rootkit简介 rootkit是Linux平台下最常见的一种木马后门工具,它主要通过替换系统文件来达到入侵和和隐蔽的目的,这种木马比普通木马后门更加危险和隐蔽,普通的检测工具和检查手段很难发现这种木马。rootkit攻击能力极强,对系统的危害很大,它通过一套工具来建立后门和隐藏行迹,从而让攻击者保住权限,以使它在任何时候都可以使用root权限登录到系统。 rootkit主要有两
centos入侵检测
wangshui898的专栏
05-23 812
#tar -zxf chkrootkit.tar.gz#yum install glibc-static#make sense#./chkrootkit -V#./chkrootkit# tar -zxf rkhunter-1.4.6.tar.gz# mkdir /usr/local/rkhunter# ./installer.sh --layout custom /usr/local/rkhun...
入侵渗透的经验
centos的博客
10-18 6164
2012-11-20 09:12 (分类:网络安全) 先看站点 拿shell的方法太多了  主要是提权和入侵思路  踩点  PING命令ping系统      TTL=32     9X/ME                              TTL=64     LINUX                              TTL=128    20
腾讯云主机被黑
weixin_30363981的博客
01-08 248
今天无意间看到了许多奇怪的进程,占用CPU还挺多的, 于是 lastb 查看登录失败日志,发现都被写爆了,看来很有可能被爆破成功进去了 攻击者的地址是同网段的,很有可能云服务器的邻居先被攻下,然后挂着爆破ssh脚本来24小时破解 看到这个马上首先做的就是禁了IP iptables -A INPUT -d xxx.xxx.xxx.xxx -j DROP 然后去查看histor...
腾讯云服务器被攻击了怎么办?
weixin_67757219的博客
03-30 3012
前几天,从知乎找过来了一个客户,他的情况是这样的,已经购买了阿里云的30G高防包,但效果并不是那么理想,价格也是非常昂贵,还是经常处于被打死拉进黑洞的状态,阿里客服那边的意思是让他上吞金兽,客户也承担不起,也确实,一天几W的消费,基本上都扛不住,所以他通过知乎联系到了我们小蚁云安全,了解过他们的情况后我这边马上给客户出了一个方案,首先这个客户也是之前不懂这行,才花了高价没解决问题,、 众所周知,ddos攻击就是流量攻击,而对抗他的方法就是资源对抗,所以一般来说高防IP就是常见的防御ddos的方法,那么
腾讯云服务器入侵,导致redis被侵入(挖矿)
cc1aymore的博客
10-30 1548
如图突然收到告警: 之后马上去查看,发现没有这三个文件。因为服务器没什么异常,就不管了。 。。。。。。 结果之后redis常常存值异常:MISCONF Redis is configured to save RDB snapshots, but it is currently not able to... 百度后修改:config set stop-writes-on-bgsave-error no 但治标不治本... 然后查看redis的log:/var/log/redis/redi.
您的云服务器(116.62.128.176)由于被检测到对外攻击,已阻断该服务器对其它--(redis漏洞引起的问题)
zxc_user的博客
01-27 8954
转载自 http://www.cnblogs.com/cxygg/p/9967602.html   https://blog.csdn.net/pri_sta_pub/article/details/85340922 https://www.jb51.net/article/147365.htm   记得还要删除对应的文件,一般都存在于 rm -rf /tmp/qW3xT.4   ...
排查腾讯云服务器被挖矿病毒【pnscan】挟持
fanxindong0620的博客
09-27 6416
一、问题发现 最新在使用腾讯云部署项目应用,具体方式为docker部署,今天早上起床发现腾讯发来一条报警信息: 二、排查过程 使用last查看最近登录信息 使用history查看历史指令 查看/etc/passwd下的账户信息 查看日志文件/var/log/secure和/var/log/message 使用top查看进程运行信息 使用netstat查看端口信息 三、解决方案 ...
springboot项目部署到腾讯云服务器centos8
04-30
部署SpringBoot项目到腾讯云服务器CentOS 8上需要经过以下几个步骤: 1. 安装Java 首先需要在服务器安装Java环境,可以使用yum命令进行安装。安装完成后,使用java -version命令检查Java是否正确安装。 2. 安装...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值