阿里云ECS服务器被攻击,植入挖矿程序的处理历程(您的云服务器由于被检测到对外攻击,已阻断该服务器对其它服务器端口(TCP:22)的访问)

最新推荐文章于 2024-10-07 15:05:15 发布
最新推荐文章于 2024-10-07 15:05:15 发布
阅读量791 收藏 20
点赞数 22
文章标签: 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64422133/article/details/142667323
版权

目录

1. 前言

2. 解决步骤

2.1控制台查看cpu占用,并在终端查看具体程序

2.2 查看对外22端口进行访问的进程

2.3 查看病毒文件位置并删除病毒文件

2.4 杀掉进程

2.5 清理tcp链接

2.6 定时任务排查

2.6.1 查看定时任务是否开启

2.6.2 清理定时任务

2.7 删除authorized_keys,这个服务器是没有配置过免密登录的,多出来的应该是病毒脚本配置的

2.8 提醒

1. 前言

您的云服务器(xxx.xxx.x.xx)由于被检测到对外攻击,已阻断该服务器对其它服务器端口(TCP:22)的访问,阻断预计将在2024-10-02 05:39:24时间内结束,请及时进行安全自查

2. 解决步骤

  1. 修改登录密码
  2. 按照云服务器提示的步骤隔离挖矿文件。

攻击主要是来自22端口的非法访问,下面是实操步骤:

2.1控制台查看cpu占用,并在终端查看具体程序

发现cpu占用不高,挖矿程序还未执行。

2.2 查看对外22端口进行访问的进程

netstat -anp |grep :22

这里有一大堆对外访问的但是总的进程就两个,一个是httpd,一个是blitz64

2.3 查看病毒文件位置并删除病毒文件

//查看病毒文件位置,上图的2812839/blitz64
cat /proc/6850/cmdline

删除病毒文件

2.4 杀掉进程

kill -9 6580

上面2.2 步骤中还有一个10199病毒进程也是同理,重复操作以上2.2~2.4步骤

2.5 清理tcp链接

//安装tcpkill工具(centos下的linux命令)
sudo yum install dsniff
//清理tcp链接
tcpkill -i eth0 -9 port 22

2.6 定时任务排查

2.6.1 查看定时任务是否开启

systemctl list-unit-files|grep enabled

2.6.2 清理定时任务

//查看定时任务
crontab -l
//编辑定时任务
crontab -e

2.6.3 检查定时任务配置文件

vim /etc/crontab

这里有多条黄色字,就是被添加的自动执行程序

定时执行curl下载木马、启动的指令

删除这些指令,保存配置

而后,重新杀死木马进程,删除木马程序

service crond restart 重新启动定时服务

这次挖矿代码没有自动复活了

保险起见,再次修改了服务器密码

重启服务器,观察了是否有奇怪的进程

2.7 删除authorized_keys,这个服务器是没有配置过免密登录的,多出来的应该是病毒脚本配置的

  • ~:这是一个特殊的符号,代表当前用户的主目录。在Unix和Linux系统中,~ 通常链接到 /home/username,其中 username 是当前登录的用户账户名。
  • /.ssh:是一个隐藏目录(以点 . 开头的目录或文件在Unix和Linux中默认是隐藏的),通常存在于用户的主目录下。这个目录用于存储 SSH 密钥和配置文件。

2.8 提醒

一定要改root密码,或者服务器设置只允许密钥登录,设置开放端口安全组规则

参考阿里云安全中心:

挖矿程序处理最佳实践_云安全中心(Security Center)-阿里云帮助中心 (aliyun.com)

记一次阿里云ECS被挂挖矿代码的处理历程_xllxr-CSDN博客

云服务器被攻击解决记录_阿里云服务器被攻击22端口-CSDN博客

keep.ac
关注
阿里云服务器ECS的6大功能组件
01-07
那么,你知道阿里云服务器ECS有哪些功能组件吗?不清楚不要紧,下面服务器吧小编带大家来看看。 在了解之前我们来看一张阿里云服务器ECS的产品组件架构图: 阿里云服务器ECS主要包含以下功能组件: 1.实例:等同于...
阿里云ECS服务器入门使用流程(新手必看教程)
09-14
阿里云ECS(Elastic Compute Service)服务器阿里云提供的一种云计算服务,它允许用户按需获取计算资源,实现高效、灵活的云上计算。这篇新手必看教程将引导你了解如何入门使用阿里云ECS服务器,从选择合适的配置...
关于我的阿里云服务器被入侵 - 分析报告
weixin_60033897的博客
09-10 1657
因为是第一次租云服务器,所以出现了很多的问题,最严重的就是安全问题了,而且问题还是很多的。因为黑客会用各种方式入侵你的服务器,来使用你的服务器资源挖矿,或者获取你服务器的信息,甚至将你的数据锁住来让你给他转账。这些问题真的防不胜防,身为一个程序员,在进行项目开发的时候,首先要考虑的就是安全问题,接下来我将以时间线来叙述我遇到的安全问题,以及怎么提防。
如何在阿里云ECS服务器(G5)上轻松安装配置docker
Java程序员廖志伟
11-14 3万+
我是廖志伟,一名Java开发工程师,CSDN博客专家,多年一线研发经验,曾就职多家互联网公司,参与并主导多个百万级并发的互联网产品研发与系统架构搭建,对大型分布式,高并发及微服务架构,缓存框架有非常深入的研究,对于中间件底层,架构搭建,系统调优颇多经验。这里是我的博客主页:https://blog.csdn.net/java_wxid 文章目录个人简介:前言一、安装docker二、docker配置对外暴露端口总结给读者大大的话 前言 服务器配置:阿里云ECS服务器(G5服务器3年2核8G
阿里云ECS挖矿程序攻击解决方法(彻底清除挖矿程序,顺便下载了挖矿程序的脚本)
NicolasLearner的博客
07-22 4658
一:杀死挖矿程序进程 在服务器上使用top指令查看cpu的使用情况,发现有一个叫java的程序占用cpu高达99.9% PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 5778 root 20 0 373576 2720 404 S 99.9 0.1 1252:00 java
阿里云服务器被通知存在“挖矿”行为,请及时整改
ywanju的博客
04-04 854
挖矿”行为是违f 的,一般如果不是自己操作的话,那就是被别人攻击了,利用漏洞在你的服务器上面安装了木马之类的东西。早晨被通知阿里云服务器存在挖矿行为,请及时整改,不然服务器被收回。
云计算系列之阿里云ECS服务器管理实战
sinat_30844883的博客
07-24 2019
云服务器ECS(Elastic Compute Service)是阿里云提供的性能卓越、稳定可靠同时简单高效、处理能力可弹性伸缩的IaaS(Infrastructure as a Service)级别云计算服务。能够帮助用户快速构建更稳定、安全的应用,提升运维效率,降低IT成本,使用户更专注于核心业务创新。
阿里ECS云服务器买来之后必做的几个操作
热门推荐
孤寒者的博客
06-13 4万+
今天我为大家带来的是如何在云服务器中配置自己的环境。在这里先说明一下我的配置,我使用的是 阿里云服 务器ECS + Ubuntu 20.04 64位 来实现的,不同的服务器和不同的系统版本可能会导致操作有些许不同,如果你是 华为云 或 者 腾讯云 又或者是 百度云 的用户,还请自己多多摸索,大致的思路是一样的。废话不多说,我们现在就开始来着手 实现吧 ——此处我们是假设你已经购买好阿里云ECS云服务器哦! 1. 检查你的安全组 首先,我们要做的是打开你的 安全组,检查你的 22 端口是否被开启,只有当端口
【图文详解】阿里腾讯华为云服务器攻击后更换服务器IP操作步骤合集
@云安全小杜
01-31 2227
你是否需要因为更换服务器IP的教程太杂苦恼,本文直接总结三大云的更换IP步骤,需要可收藏,全部附带原文链接
阿里云ECS服务器如何搭建并连接FTP,完整步骤
Counter-Strike大牛
11-21 3255
怎么用终端连接服务器就不多说了,直接开始搭建FTP。sudo。
阿里云ECS服务器上搭建FTP服务
01-09
阿里云ECS服务器上搭建FTP服务一、简介二、环境简介三、搭建FTP服务器步骤1、配置ECS服务器的安全组策略2、服务器安装vsftpd软件3、修改配置文件4、启动FTP服务5、Windows下登录到FTP服务器 一、简介 FTP是一种...
搭建阿里云ecs服务器之安装图形化界面的方法
09-15
搭建阿里云ECS服务器并安装图形化界面是一个常见的任务,特别是在需要进行可视化操作或更直观管理服务器时。这里我们将详细讲解这一过程。 首先,阿里云ECS(Elastic Compute Service)是阿里云提供的弹性计算服务...
深入理解Web浏览器与服务器的连接过程
apple_64847327的博客
10-01 658
在互联网的世界里,我们每天都在浏览网页,但你是否想过,当你在浏览器中输入一个网址时,背后发生了什么?
在 Ubuntu 下通过 Docker 部署 NAS 服务器
shelby_loo的博客
09-30 718
Docker 是一个开源的容器化平台,通过将应用及其依赖打包到容器中,简化了软件的部署与管理。Docker 可以让我们轻松地在任何环境中运行应用,并且可以快速地创建、移动和复制容器。对于 NAS(网络附加存储)软件,最受欢迎的选择之一是。它是一个基于 Debian 的 NAS 解决方案,提供了丰富的功能,如文件共享、备份、用户管理等。通过 Docker 部署 OpenMediaVault,不仅节省系统资源,还能实现快速恢复和轻松升级。
ping香港服务器超时的原因通常有哪些?
JttiSEO的博客
09-30 403
解决ping服务器超时的问题通常需要从网络链路的各个环节逐一排查,从本地网络开始,逐步向服务器端和网络路径上的各个节点进行检查。- 跨国路由问题:如果服务器和客户端位于不同国家,数据包可能需要经过多个网络,容易因路由问题导致超时。- 客户端配置问题:客户端的网络配置问题(如错误的IP地址或子网掩码)也可能导致ping请求超时。- 服务器带宽饱和:如果服务器的网络带宽被占满,可能导致新的请求无法及时处理。- 服务器系统问题:操作系统故障或不当的配置可能导致无法响应ping请求。
内网Debian\Ubuntu服务器安装dep包,基于apt-rdepends下载相关依赖
Java全栈开发者
10-07 653
的方式下载后,拷贝进内网直接安装,可能会安装不上,因为有些包存在依赖关系,例如A依赖B,我们只下了A,在内网安装的时候就会因为没有安装B而报错,而且有些软件包的依赖比较多,一个一个的报错再解决也不太现实。的输出会包含包名和依赖关系的层级结构。你需要过滤掉重复的包名和无关信息,只保留唯一的包名列表。所以,需要现在联网的环境中将所需的软件包下载完之后,拷贝到内网环境。安装脚本时,在安装A的时候,必须有B,但是B对应的deb我们也已经下载完了。的方式,初步试了一下,也是可以下载到对应的依赖包。
运用MinIO技术服务器实现文件上传——在Linux系统上安装和启动(一)
最新发布
h123372868的博客
10-07 641
随着大数据时代的到来,数据存储的需求日益增大,如何有效地存储和管理大规模的非结构化数据成为许多企业和开发者面临的挑战。MinIO 作为一个高性能、分布式对象存储系统,致力于为用户提供简单、快速、可扩展的存储解决方案。它的设计与 Amazon S3 兼容,用户可以无缝切换到 AWS 生态系统,并充分利用 S3 提供的丰富功能。MinIO 是基于 Go 语言开发的,因而其执行效率极高,并且可以灵活地支持各种非结构化数据的存储,例如图片、视频、日志文件、备份数据和容器/虚拟机镜像等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值