服务器被黑记录-问题、探索与检测

最新推荐文章于 2024-07-02 15:34:09 发布
最新推荐文章于 2024-07-02 15:34:09 发布
阅读量212 收藏
点赞数
分类专栏: Linux 安全 文章标签: linux docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/q15037911903/article/details/113427010
版权

问题发现:

  • 系统出现了个挖矿的docker容器,删除了但忽略了(根源在此,docker容器的远程端口没有认证,出现了问题)
  • 执行sudo或htop命令输出奇怪字符
  • 执行touch等创建文件命令,生成的文件读写权限很奇怪

问题探索:

  • 开始以为是sudo、bash或htop的问题
    • 使用strace跟踪调用发现了奇怪的write(1, "\210$\255\373", 4)
    • 查看htop、sudo等对应版本源码,发现可能是某些系统lib的问题
  • 意识到是共享库出问题了
  • 然后发现用touch后其他创建的文件的权限(chmod的读写执行权限)很奇怪
    • 调查touch源码没有发现异常
    • 用C写了个open创建文件的代码发现文件的权限始终是002,无论如何都改不了
    • 在另一个同样操作系统上对比同样代码的strace,发现有不一样的open(... /usr/lib/libc.so.9)系统调用
  • 意识到可能是这个libc.so.9的问题
    • 查看该文件发现是最近创建的,确定就是它的问题
    • 一直在查看sshd的日志,发现这个文件创建时有root的登录操作

原因探索:

  • /usr/lib/libc.so.9删除后,命令执行的时候都会报一个错误,和/lib64/libacl.so相关,感觉问题不大就先,没处理
  • 第二天发现删除的文件又回来了!查看日志发现文件回来的时间(创建时间)有一个docker容器启动了,docker container ls -a查看果然看到了一个容器,然后意识到可能是docker的远程端口漏洞,结果发现Docker远程端口2375没有任何认证
  • 至此大概知道问题根源:Docker远程端口被利用,挂载了系统文件并将公钥写到ssh中,同时启动了容器执行挖矿脚本,并创建了有问题的动态库/lib64/libacl.so -> /usr/lib/libc.so.9,导致程序执行异常

加固:

  • 将ssh的Root登录禁用
  • 使用fail2ban加固系统,防止ssh爆破
EricJeffrey
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
菜鸟记录探索与解决arcgis pro不能安装Python包的问题
qq_34573716的博客
05-08 2066
需求:在arcgis pro中安装Python包 问题描述: 无法直接在arcgis pro(2.0、2.1、2.2版本)中安装scikit-learn包,且无法打开软件目录下的命令提示符。 用conda下载包的速度慢到令人发指。 解决方法: 卸载软件,重新安装,确保安装目录中无空格(我的安装路径:) 相信大家都有一种共同感受,那就是新事物的学习难在刚开始。我是第一次知道并接触arcgis...
排查服务器的一些方法
08-09 772
1.awk -F: '{if($3==0 || $4==0) {print $0} }' /etc/passwd #查看用户和组为0的用户 2.stat filename 查看可疑文件日期 4.对服务器异常进程进行检查 netstat -anpt,检查异常IP连接,查询ip归属地如果是国外的,查询pid ,lsof -p pid 查看进程打开了哪些文件,查询当前占用cpu 大于30%的进程,top 大写P,检查该进程所在目录,ll /proc/pid,其中cwd是程序运行目录,exe是程序...
云计算探索-服务器关键技术
CloudJourney的博客
03-27 1455
IPMI技术深度解读 IPMI(Intelligent Platform Management Interface)智能平台管理接口,是一项全球公认的开放标准硬件管理规格。它诞生于1998年,由英特尔、惠普、NEC、戴尔和SuperMicro等行业巨擘联手研发制定,目的在于通过标准化的方式,让管理者能够独立于操作系统,利用服务器内的嵌入式管理子系统,实时且精准地掌握服务器的硬件运行状态。
活体检测综述 Deep Learning for Face Anti-Spoofing: A Survey 阅读记录
chen_znn的博客
11-05 6273
这篇文章首次全面回顾了基于深度学习的活体检测算法的最新研究进展。
Linux系统----------探索mysql数据库MHA高可用
zzzxxx520369的博客
03-29 1626
MHA(MasterHigh Availability)是一套优秀的MySQL高可用环境下故障切换和主从复制的软件MHA 的出现就是解决MySQL 单点的问题。MySQL故障切换过程中,MHA能做到0-30秒内自动完成故障切换操作。MHA能在故障切换的过程中最大程度上保证数据的一致性,以达到真正意义上的高可用。
云数据中心运维新纪元:让Linux服务器如虎添翼
最新发布
程序边界
07-02 1万+
精通Linux的终极指南《Linux系统管理、服务器设置、安全、云数据中心(第10版)》在上一版的基础上全面更新,旨在帮助Linux新手及中级用户将Linux知识和技能提升到新水平。知名Linux专家、畅销书作家Christopher Negus在本书中浓墨重彩地描述Red Hat Enterprise Linux、Fedora和Ubuntu新版本及命令行工具,并通过分步的详明演示和精选习题引导读者悟透Linux操作系统的工作原理。本书还为各类Linux认证考试提供备考资料。
pingcastle的使用-AD域安全检测
Ping_Pig的博客
10-26 2415
目录 讲在前面 工具简介 使用 一、安装 二、使用 1-healthcheck-安全检查 2-conso-将多个报告汇总到一个报告中 3-carto-构建所有互连域的地图 4-扫描-在工作站上执行特定的安全检查 5-高级-打开高级菜单 总结 讲在前面 笔者在今年年初接触到该工具,一直未抽出空对工具的使用做一次翻译和自己的总结,目前将此工具的使用做如下翻译性的总结。同时笔者对此工具开始二次开发,在开发的过程中笔者将不断的分享域内安全渗透技术总结、C#开发备忘录、以及Windows底.
机器学习------安全与隐私问题综述
sfakh的博客
08-28 3139
近年来机器学习的发展十分迅速,机器学习被用在很多场景。 机器学习的学习方式 1.集中学习 即传统的机器学习训练,在模型训练之前,各方的数据需要被数据收集者集中收集,然后由数据分析者进行模型训练。数据收集者和数据分析者可以不同 缺点:用户的数据被收集之后,用户很难获得对数据的控制权 2.联邦学习 联邦学习则是通过共享一个全局模型,参与者的数据保留在本地,只需将训练后的模型更新参数上传到参数服务器,由参数服务器整合参数,从而实现模型更新即可。 与传统机器学习相比,联邦学习提高了学习效率,还能解决数据孤岛问题,保
《异常检测——从经典算法到深度学习》5 Opprentice: 通过机器学习实现实用的自动异常检测
Smileyan's blog
06-23 1万+
目录 0 概论 1 基于隔离森林的异常检测算法 2 基于LOF的异常检测算法 3 基于One-Class SVM的异常检测算法 4 基于高斯概率密度异常检测算法 5 走近AIOps:Opprentice系统(待更) 5 基于随机森林的异常检测算法:Opprentice 此篇主要介绍以下内容: 论文概述 算法实验 小结 5.1 论文概述 论文名称:Opprentice: Towards Practical and Automatic Anomaly Detection Through Machin
小鱼深度产品测评之:阿里云新款通用算力型ECS云服务器Universal实例,实力与能力并存的一款产品。
商务合作 | 面试培训 | 职场规划 ==>主页扫码
06-13 3308
通用算力型Universal实例,限时申请免费体验机会。
STM32 TCP并发服务器源码(可与多个客户端通信)
07-09
这可能包括异常检测、日志记录、错误恢复等。 7. **适配器层**:考虑到STM32硬件特性,可能需要编写适配器层来处理底层的网络驱动和中断处理,以便于与TCP/IP协议栈交互。 在"并发服务器 (完美版)"这个文件中,很...
邮件渗透-VRFY请求服务器验证邮件地址是否正确
07-17
一旦确定目标服务器的SMTP服务正在运行,通常在TCP的25端口,测试者会与服务器建立连接。SMTP交互通常是通过telnet或Python等编程语言实现的。在Python中,可以使用`socket`库来创建连接并发送SMTP命令。在连接建立...
简易的微信客户端与服务器
03-16
在安全方面,由于涉及到用户的隐私,微信客户端与服务器端之间的通信应该进行加密,如使用SSL/TLS协议,防止数据在传输过程中被窃取或篡改。此外,登录验证也至关重要,可能会采用用户名密码认证或者更安全的OAuth等...
Java语言的程序漏洞检测与诊断技术
07-05
Java语言以其跨平台的特性,丰富的类库,以及强大的安全性设计,被广泛应用于移动设备(如Android系统)、桌面应用程序和服务器端开发。然而,随着Java应用程序数量的快速增长,程序漏洞问题也日益突出,这不仅影响...
数据分析与DNS服务器维护策略.pdf
10-14
这需要定期更新安全补丁,使用防火墙和入侵检测系统,并启用DNSSEC(DNS安全扩展)来验证DNS记录的完整性。 2. 性能优化:通过配置缓存策略,减少对外查询,提高响应速度。同时,采用负载均衡技术,分散流量到多个...
Alpine Linux的安装配置
EricJeffrey的博客
07-17 3041
Alpine Linux是一款安全、轻量的Linux发行版,基于musl libc and busybox。本文简要描述了Alpine Linux的安装过程以及VMware Player端口映射的配置。
使用Docker安装完整Ubuntu容器
EricJeffrey的博客
07-27 2699
文章目录 步骤 pull镜像 docker pull ubuntu --> image-id 使用上述镜像启动容器,名为xxx,后面要用到这个容器 docker run -it --name xxx image-id,替换xxx和image-id 现在应该进入终端了,实际就是容器的/bin/bash了。这里需要如下操作 更换源,清华源在此,记得选版本以及将https更换为http,因为没有编辑器,需要echo -e 'xxx\nxxx\n' > /etc/apt/sources.list a
Ubuntu20.04将用户添加到sudo组并且设置不输密码
EricJeffrey的博客
07-23 1494
直接复制askubuntu的了,找了半天https://askubuntu.com/questions/192050/how-to-run-sudo-command-with-no-password 对了,记得重新登入 re-login。 I found that the most straight forward thing to do, in order to easily replicate this behavior across multiple servers, was the followin
poll使用介绍 - 简单服务器
EricJeffrey的博客
08-14 1297
Linux系统提供了`select, poll, epoll`三种更加高效的IO模型,这里使用一个例子简单介绍一下`poll`在套接字上的使用。基于事件的IO模型允许服务端使用事件触发的方式,在客户端发送请求时触发读取`read`操作,并在写操作`write`不会阻塞的时候写数据。这种IO模型允许使用更少的线程处理更多的客户端连接,能够降低系统负担,提高应用的服务效率。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值