记录一次阿里云服务器被入侵处理经过

最新推荐文章于 2023-04-18 13:08:26 发布
最新推荐文章于 2023-04-18 13:08:26 发布
阅读量2.1k 收藏 5
点赞数 1
分类专栏: 感悟 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/haogeoyes/article/details/106048224
版权

本人自己的阿里云服务器,纯个人使用,除了提供小爱音箱开关家中esp8266灯带使用,没什么特别的重要服务。
直到有一天,小爱平台的哥们告诉我,我的应用响应超时,才开始关注我的服务器问题(前期收到过超时短信、和阿里云的风险短信,没太关注)

现象:

登录后 很卡
查看负载6个以上
top cpu 90%
看不到使用cpu较高的进程
接着排查应用 查看响应时间确实 较以前较高 增加了3秒
先恢复应用,提供默认响应先规避小爱告警
而后慢慢排查负载高的问题

解决:

查看阿里云告警
在这里插入图片描述
查看 了下ip 62.210.119.142 为法国巴黎 访问了自动跳转域名
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
这就是为什么,最开始查看cpu利用率很高,但是看不到CPU占用的进程

被入侵无疑

查看用户
在这里插入图片描述
这里发现,最后的nginx用户是我自己创建的,但是不仔细看以为没有问题,在我的mqtt用户中间增加了个systemd的用户,id 1000 。。。。。为对方新建的后门用户

查看了下到时没有sudo提权操作
在这里插入图片描述
没有

先快速解决

修改密码
删除 会话
ssh -t tty1 
kill -9  
删除 .ssh/authorized_keys 免密登陆
删除无关计划任务
删除用户
重启 问题解决

总结

该修的漏洞要抓紧修

haogeoyes
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
一次阿里云上Redis服务器被入侵的经历
qq_25968703的博客
06-02 3679
欢迎使用Markdown编辑器写博客本Markdown编辑器使用StackEdit修改而来,用它写博客,将会带来全新的体验哦: Markdown和扩展Markdown简洁的语法 代码块高亮 图片链接和图片上传 LaTex数学公式 UML序列图和流程图 离线写博客 导入导出Markdown文件 丰富的快捷键 快捷键 加粗 Ctrl + B 斜体 Ctrl + I 引用 Ctrl
阿里云-云盾用户手册-18
03-25
阿里云云盾用户手册是阿里云提供的一款安全管理工具,旨在帮助用户更好地管理和保护云服务器的安全。该手册详细介绍了云盾控制台的使用方法和功能特性,为用户提供了详细的安全管理和检测报告。 云盾控制台首页是...
阿里云服务器入侵怎么办?
abbe1809927446的博客
04-18 1739
此外,立即停机后,涉及到的数据也能够得到及时的保护。在防止系统被入侵的过程中,一些有效的安全措施是很关键的,例如使用安全的密码、加强防火墙等安全手段。阿里云将会派出专业的技术团队进行故障除和恢复,确保服务器从被入侵的状态中恢复过来,并开展更加全面和具体的安全措施。在此刻,备份可以为我们所带来的帮助就在于通过备份的数据来恢复出受损或者丢失的数据,从而保障企业或个人的重要数据不受损失。同时,备份数据和请专业人员协助都是必要的,以确保黑客攻击不会再次重演,更好的保护数据的安全性。一、立即停机并改密码。
一次阿里云入侵的解决方案(小白攻略欢迎大佬指点)
weixin_43472459的博客
11-24 1938
记录一次阿里云ESC服务器被入侵后的解决方案。
你知道小伙伴们的阿里云服务为什么会被ru侵,是怎么ru侵的吗?
LoveSummer
08-15 3万+
分布式拒绝服务攻击(,简称DDoS)是指处于不同位置的多个攻击者同时向个或数个目标发动攻击,或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。由于攻击的发出点是分布在不同地方的,这类攻击称为分布式拒绝服务攻击,其中的攻击者可以有多个。攻击类型:一种为流量攻击,主要是针对网络带宽的攻击,即大量攻击包导致网络带宽被阻塞,合法网络包被虚假的攻击包淹没而无法到达主机;...
云服务器会被攻击吗?
m0_70655343的博客
10-09 1020
护云盾发现很多用户说阿里云服务器经常被攻击,无论是阿里云还是其他云厂商,云服务器被攻击都会有,阿里云服务器市场份额高,被攻击也是正常的。阿里云为每台云服务器提供免费防御额度,阿里云云盾默认为每台云服务器ECS实例免费提供最大5Gbit/s的流量攻击的防护,不同实例规格的免费防护流量不同,实际防御值与云服务器实例规格有关,大家可以参考:DDoS基础防护黑洞阈值。例如,通过服务器搜集正常玩家的信息,当面对攻击时,将正常玩家导入预先准备的服务器,并暂时放弃新进玩家的接入,以保障在线玩家的游戏体验。
阿里云服务器被攻击了怎么封禁IP
weixin_67757219的博客
01-11 371
如果您希望在您的服务器上封禁某个 IP 地址,您可以使用防火墙规则来实现。具体来说,您可以使用防火墙软件或硬件来阻止来自特定 IP 地址的流量到达您的服务器。例如,在 Linux 系统中,您可以使用 iptables 命令来封禁 IP 地址。如果您的服务器被入侵了,最好的做法是立即断开网络连接,以防止攻击者进一步损害您的系统。如果您发现了任何可疑的活动,您应该立即联系您的网络管理员,或者联系技术支持以获取帮助。fail2ban 是一款开源的安全工具,可以根据指定的规则,自动封禁来自特定 IP 地址的流量。
阿里云服务器安全-产品简介.pdf
10-11
阿里云服务器安全,也称为“安骑士”,是一款由云盾推出的服务器安全运维管理产品,旨在保障用户云服务器的安全。该产品通过在服务器上安装轻量级的Agent插件,与云端防护中心的规则联动,实现实时监控和防御入侵...
阿里云服务器安全-产品简介-D.docx
10-11
阿里云服务器安全产品,也被称为“安骑士”,是一款由云盾推出的高效运维管理工具,旨在保障用户云服务器的安全。该产品通过在服务器上安装轻量级的Agent插件,与云端防护中心协同工作,能够实时监控和防御各种入侵...
【精品】阿里云新零售一体化安全解决方案_v1.0-外部版.pptx
07-09
总之,阿里云新零售一体化安全解决方案旨在通过多维度防护,为企业构建一个安全、稳定的新零售环境,防止客户隐私泄露,降低商业风险,确保企业合规运营。这不仅关乎企业自身的生存与发展,也是遵守法律法规,保护...
阿里云 专有云企业版 V3.8.2 云解析DNS 产品简介 20200417.pdf
最新发布
06-15
阿里云专有云企业版V3.8.2云解析DNS产品是一款为企业级客户设计的高可用、高性能的域名解析服务。这款产品旨在提供稳定、安全、高效的DNS解析能力,确保企业的在线服务能够快速、准确地被全球用户访问。 1. **产品...
使用的阿里云服务器被黑客入侵怎么办
weixin_30632899的博客
03-17 6734
对于很多运维人员来说,服务器安全是至关重要的,必须确保云服务器上的网站不被恶意入侵以及安装木马病毒程序。现在很多公司以及个人习惯使用云服务器,如阿里云、腾讯云、百度云等,当云服务器被黑客入侵的时候,查的相关方法依旧跟自建服务器类似。如果使用的是阿里云服务器,在网站等应用程序被挂马蠕虫或者服务器被入侵,但自身运维工作人员又无法查出问题的时候,我们还可以通过购买阿里云的安全应急响应服务来请阿里的安...
重磅-记一次惊心动魄的阿里云服务器入侵过程定位
yinn
09-30 1万+
现象 某天登陆自己的阿里云服务器,发现有很多命名奇怪的进程:  定位步骤一:查看进程文件位置 通过命令 ll /proc/pid 查看进程文件exe执行路径,打开后整个人都惊呆了!mysql目录和mysql/data目录多了很多奇怪的so文件和可执行文件: 定位步骤二:立马kill掉进程和文件 批量kill进程:介绍一个在stackoverfl
阿里云、云机器被渗透了怎么办?网站后台被入侵了怎么办?
m0_67776192的博客
03-09 2057
阿里云、云机器被渗透了怎么办?网站后台被入侵了该怎么办?
阿里云服务器被挖矿病毒入侵处理
乘风的博客
04-08 3268
前言 近日阿里云上搭建wordpress博客的轻量应用服务器cpu满载运行,第一反应就是被挖矿了,这里记录一下处理过程。 杀掉进程 top查看进程id 杀死进程 kill -9 11353 杀死进程 清理定时任务 光杀死进程肯定是不够的,这种挖矿程序一般会通过修改系统定时任务,达到再次执行的目的 检查定时任务 执行crontab -e,看到定时任务里面有一个脚本 10 * * * * /root/.systemd-service.sh > /dev/null 2>&1 & 看
阿里云服务器被挖矿程序minerd入侵的终极解决办法
热门推荐
Java高知社区
01-06 4万+
突然发现阿里云服务器CPU很高,执行 top 一看,有个进程minerd尽然占用了200%多的CPU, 百度了一下,查到几篇文章都有人遇到同样问题,解决的办法:http://blog.csdn.net/hu_wen/article/details/51908597 但我去查看启动的服务,尽然没有 lady 这个服务。 找不到根源,那个minerd进程删掉就又起来了,后来想了个临时办法,先停掉

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值