记录阿里云被肉鸡的破解方法

版权声明:本文为博主原创文章,遵循 CC 4.0 by-sa 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/niujiaming0819/article/details/51460496

5.19号收到阿里云的短信提醒:尊敬的用户,您的云服务器(xxx.xxx.xxx.xxx)存在对外ddos攻击,或已被入侵,会造成您的服务器宕机或者数据泄露。xxxxxxx

5.19号当天我登录服务器查看可疑进程,没有所获。更改了云服务器的密码,包含了大小写,特殊字符


5.20号又收到短信提醒,和5.19号短信一样,仍然存在入侵。


登录阿里云,查看cpu使用率为100%,ps afx查看进程如下



于是猜测,应该是被建立了ssh信任关系


cat /root/.ssh/authorized_keys


果然发现有信任关系

REDIS0006qweA
ssh-rsa uoNrL+gb+9Z6uBPhIdF3Q61WLuNB/nQ83S3o3d6gW9urkYU3/jKO1y7RZ+E/3u5GNrFsdMl4xaLatjcj7KSU6WJo4c90OSu0RhzZLS2jWKOLiWF3JSwoKTXouAfcDebhyt97D/HF/mZsIIG9wZVVZVoqFpm/RSZvsYvDdICy8hk3osVXW5rSw0vpB9uWBSQBfiJ5/eKZBeKSkJE8s3T75/NFrrr0n6A3h7fODsjUTIOYjOcFqAyrzdBG59eo441MaqB4nThGk+007IACZw== root@dedi10243.hostsailor.com


那是hacker是怎么建立信任关系的呢?各种纠结


后来多方排查,发现/etc/init命令被替换,每次重启都会在/root/.ssh/authorized_keys里面种信任关系


没办法了,重新装机解决。(还是重装吧,1没啥服务,2担心其他命令也被替换)


hacker怎么进入还是无法定位,持续纠结。

展开阅读全文

没有更多推荐了,返回首页