开篇,先看一万点暴击:
过程中就是在不断的跟啊*云客服交涉,看怎样解决这个问题。过程中学到了一些东西,然后参考网上老师们的一些文章,总结一下经验。
- 具体现象是:top等命令检查后,总会那么一会服务器 CPU 资源长期 100%,负载较高。服务器上面的服务不能正常提供服务。所以猜想:
- 服务器被入侵的可能原因:
- 服务器 ssh 密码 设置得很简单
- 阿里云安全组范围放得很大
- 使用了宝塔,宝塔面板的密码也是很简单的密码(应该不是这个入侵入口)。(项目中没使用,但是看到其他老师文章中有此原因,故纳入)
- 排查和处理步骤:
- 1.
ps -ef / top 找出占用进程最大的服务
- 2.查找详细的入侵痕迹 last 或者 grep ‘Accepted’ /var/log/secure。我们在这里就可以看到,有一些境外IP 34.215.138.2 成功登录了,这些 IP不是我们的正常登录。 在 /var/log/secure 日志里,我看到了 IP 34.215.138.2 尝试登录不到500次 就已经破解成功了。
- 处理措施:
- 第一个措施:
- 1.在阿里云安全组限制了 SSH 的登录IP, 之前的安全组 SSH 是放行所有IP。后面尝试过用密钥对登陆
- 2.将 SSH ROOT 密码修改
- 3./root/.ssh/authorized_keys 备份,并清空。
- 第一个措施:
- 处理措施:
- 3.查看最近新增的一些用户:cat /etc/passwd
-
- 1.
- 服务器被入侵的可能原因:
未完待续…
巨人的肩膀:
计算机网络自顶向下
java基基老师
图解HTTP
网络编程
图解TCP/IP