- 起因:2021-05-20日和21日公司的阿里云服务器发出报警提醒,有异常登录,由于外出工作没有及时查看和处理,直到21日下午查看时发现是有人暴力破解了服务器密码并成功登陆,这使我很震惊,毕竟阿里云也是有一定防护措施的,我们的密码也是随机生成的,得佩服一下这个黑客。登录的ip是两个国外地址,一个是新加坡(54.179.10.190)另外一个是博阿努瓦(51.222.40.232),赶紧对这两个ip进行拒绝登陆,可气的是这厮竟然修改了我的阿里云服务器的root登录密码,我不知道这个是怎么做到的,毕竟阿里云的root密码是在控制后台设置的。赶紧修改了以免再次遭到破解。重启服务器,重启服务应用,发现一切正常,业务都能访问,就安心睡觉了。这期间我用了history命令查看了被攻击后的操作命令,安装了useradd,创建了system用户,在bin下创建了.system目录,一看就是障眼法,要做小动作的架势,而且还到国外的网站下载了一个邮件服务器程序,安装了java12,没有其他的了,也就没有去查看top和ps -ef 的信息,大意了,对网络防护还是没有经验。。。。。。
- 经过:再次报警,22和23号是周末,又收到了阿里云的报警提示,说服务器中了挖矿病毒。赶紧爬起来检查,他妈妈的,这厮都是凌晨作业,狗日的。看了top,发现有个xmrig的进程cpu占比非常高,直接撑满了。那就说明这是个病毒啊,赶紧找度娘,还真是个挖矿病毒,简单的按图索骥,找到了程序的save目录,然后就干起来。。。。。。另外要说的是,这厮用了个叫“猫池”的挖矿软件c3pool。
- 操作:
top 查找xmrig的pid
ps -ef | grep xmrig 查到安装目录,先不要删目录,先干掉他创建的用户system
userdel -r system
kill -9 12048
删除安装程序,这厮把安装目录迁移到了我的应用服务目录tomcat的temp下,挺恶心的。
修改/etc/sudoers文件,注释掉system ALL=(ALL) ALL
修改/etc/shadow-影子文件,删掉system用户设置
***上面两个文件都是制度文件,需要用wq!保存退出
systemctl list-unit-files 查看系统自启动服务,找到可以程序“c3pool_miner.service” - 结束,今天24号,早上来公司查看了一下进程,目前一切正常。
扫一扫
1383
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
